Cybercriminaliteit is in 2020 nog steeds een belangrijk bedrijfsrisico

Het is alweer 2020. Veel organisaties stelden twee à drie jaar geleden ambitieuze IT-doelen met dit jaar in gedachten. Marnix Pilon, Kevin Hermes en Dennis Wustefeld, consultants bij Improven, evalueren wat er van die ambities terecht is gekomen en wat de komende periode hoog op de agenda’s van CIO’s en IT-managers staat.

Welke onderwerpen stonden de afgelopen jaren hoog op de actielijstjes van IT-beslissers?

“Het merendeel van de Nederlandse organisaties ziet cybercriminaliteit en de bescherming van kritische bedrijfsinformatie al langere tijd als belangrijkste bedrijfsrisico’s”, zegt Wustefeld. “Daarna komen risico’s die samenhangen met veranderende wet- en regelgeving en met de groeiende economische onzekerheid. De veiligheid van informatie blijft ook in 2020 aandachtspunt nummer 1.”.

Hoe komt het dat de inspanningen van de afgelopen jaren niet hebben geleid tot een vermindering van digitale risico’s?

Pilon: “Dat komt onder andere door de snelheid waarmee het werken via de Cloud afgelopen jaren is gegroeid. Dat het zo snel zou gaan, kon niemand voorzien. Jonge medewerkers versterken deze trend. Zij zijn, ook in hun privéleven, zo gewend aan locatieonafhankelijk werken. Het nieuwe digitaal werken is veelal onder grote tijdsdruk geïmplementeerd om vooral niet achter te raken. Terwijl veel organisaties hun IT-strategie en IT-beleid nog niet op deze ontwikkeling hebben geactualiseerd.”

Hebben jullie een voorbeeld van deze groeiende onbalans tussen innovatie en IT-strategie en beleid?

Hermes: “De vlucht die Google Drive, Dropbox en Gmail hebben genomen, zijn daarvan een goed voorbeeld. Het is gemakkelijk om zakelijke accounts te koppelen aan deze apps en hiermee altijd en overal bij je documenten en mails te kunnen. Dat deze informatie dan veelal onder Amerikaans recht en buiten de Europese wetgeving (AVG) valt, beseffen organisaties nog onvoldoende. Een tweede voorbeeld is het bring-your-own-device-principe dat binnen steeds meer organisaties aan populariteit wint. Er is een wildgroei aan formeel niet-goedgekeurde IT-middelen, ofwel ‘Shadow-IT’. Zo wordt het niet-zakelijke Whatsapp gebruikt regelmatig gebruikt voor werk gerelateerde activiteiten. Terwijl deze app niet het gewenste beveiligingsniveau van de zakelijke omgeving kent. Helaas geldt bij snelle innovatie vaak: Een groter gebruiksgemak, maar ook een groter beveiligingsrisico.”

Maar waarom zijn dit soort kwetsbaarheden dan zo risicovol?

“Het gaat bij veel organisaties al lang niet meer om een set klantgegevens die per abuis bij een printer blijven liggen of een memory stick die iemand in de auto of trein heeft laten liggen”, zegt Wustefeld. “Informatie kan tegenwoordig zo makkelijk en zo snel worden uitgewisseld, dat ook de incidenten steeds omvangrijker en schadelijker voor de organisatie zelf worden. Het afpersen van organisaties met eigen gestolen informatie is voor criminelen een business model geworden. Grote data-lekken zijn helaas aan de orde van de dag en vaak ook groot nieuws. Het kan zelfs tot de ondergang van een organisatie leiden.”

Wat betekent dit voor bedrijven?

Hermes: “Dit adequaat voorkomen, vraagt echt veranderingen in de kern van organisaties. Organisatie hebben vaak wel een algemene bedrijfsstrategie, maar men verzuimt aansluitend een afgeleide IT-strategie en passend IT-beleid te formuleren. Terwijl innovatie sneller dan ooit verloopt en IT-beslissingen steeds vaker decentraal worden genomen. Zonder IT-strategie geen richting en zonder IT-beleid geen spelregels om elkaar aan te houden. Hoe kunnen we IT zo slim en efficiënt mogelijk inzetten om onze strategie te realiseren? En wat vinden wij eigenlijk van de belangrijkste IT-aspecten? De meeste organisaties zijn zich hier onvoldoende van bewust.”

Waarom zijn deze risico’s groter bij middelgrote organisaties dan bij corporate organisaties en kleinere MKB-bedrijven?

Pilon: “Kleine bedrijven beschikken simpelweg niet over grote volumes kwetsbare informatie. Terwijl de echt grote corporate organisaties vaak professionals in dienst hebben, of inhuren, om ongewenste situaties te voorkomen. Grotere MKB-bedrijven vallen een beetje tussen de wal en het schip en lopen relatief het grootste risico. Doordat zij wel grotere volumes kwetsbare informatie beschikken, maar vaak niet over de expertise en capaciteit beschikken om de risico’s te beperken.”

Wat kunnen MKB-bedrijven doen om zich beter te beschermen tegen de groeiende onbalans tussen continue vernieuwen en de kwetsbaarheid van informatie?

“Bedrijven die echt op hoog tempo en continue innoveren, brengen bij iedere innovatie direct ook de nieuwe veiligheidsrisico’s in kaart. Innoveren, risico’s en beveiligen gaan dan hand in hand”, onderstreept Wustefeld. “Maar daar zit eigenlijk nog een belangrijke stap voor. Wij adviseren organisaties vooral ook een krachtige IT-strategie en duidelijk IT-beleid te formuleren, als afgeleide van de algemene bedrijfsstrategie. Veel MKB-bedrijven hebben dit nog niet goed op orde. Wat we vaak zien, is dat men innoveert zonder dat men zich afvraagt, wat de IT-gevolgen en risico’s daarvan kunnen zijn.”

Hoe kunnen organisaties dit dan concreet aanpakken?

Pilon: “Door direct bij het bepalen van de algemene strategie ook de afgeleide IT-strategie en het bijbehorende IT-beleid te formuleren. Organisaties zijn zo afhankelijk van IT geworden, het ene kan echt niet meer zonder het andere. Bij iedere grotere innovatiestap zou ook direct rekening moeten worden houden met de risico’s en veiligheidsconsequenties van die stap. Eigenlijk zou er aan elk innovatieproject ook minimaal één veiligheidsexpert moeten deelnemen.”

Voor meer informatie over dit onderwerp, kunt u contact opnemen met onze partners Masha Hennequin via masha.hennequin@improven.nl (06 20 60 43 25) of Louis de Koning via louis.de.koning@improven.nl (06 20 60 43 25)