Je bent eruit, de cybersecurity van je bedrijf of organisatie moet naar een hoger plan. Het begint bij een goede cybersecurity strategie die alle facetten van je bedrijf raakt, van organisatiestructuur tot dienstverlening.
Om tot een ijzersterke cybersecurity strategie voor je bedrijf te komen, stel je jezelf eerst de volgende 6 vragen:
1. WAT MAG NIET STIL KOMEN LIGGEN? OFTEWEL: WAT ZIJN DE KROONJUWELEN VAN JE BEDRIJF?
Wat is zo kostbaar en belangrijk voor je bedrijf dat niemand anders het in handen mag krijgen of dat het niet meer werkt? Oftewel: wat zijn je kroonjuwelen? Het is belangrijk dat juist deze sleutelelementen beschermd zijn tegen bijvoorbeeld cybercriminelen. Om te bepalen wat de juiste veiligheidsmaatregelen zijn, breng je als directie in kaart waar de grootste dreigingen vandaan komen. In de maakindustrie is continuïteit van je productieproces essentieel. Is de productielijn verbonden met het internet? Dan is het belangrijk om deze potentiële toegangsdeur voor cybercriminelen op slot te houden. Werken jouw medewerkers veel thuis, zorg er dan voor dat zij een veilige verbinding hebben met de bedrijfssystemen.
2. WIE HEEFT WELKE VERANTWOORDELIJKHEID?
Om een bedrijf digitaal veilig te maken en te houden, ligt het voor de hand om de verantwoordelijkheden te verdelen onder diverse medewerkers en afdelingen. Het gaat bijvoorbeeld om de bescherming van persoonsgegevens van klanten of medewerkers. Of het beschermen van de IT-omgeving tegen een cyberaanval. Wie doet wat? Het is de taak van de directie om hier goede afspraken over te maken. Is de IT-afdeling ondergebracht bij een extern bedrijf? Zorg dat er ook met hen duidelijke afspraken zijn over de taken en verantwoordelijkheden.
3. STEL JE DE JUISTE VRAGEN AAN JE IT BEHEERDER?
Goed IT beheer is een belangrijke voorwaarde voor een cyberveilige organisatie. Het helpt om kritische vragen te stellen aan je IT beheerder waarmee je de (basis) cybersecurity maatregelen aanscherpt. Iedere organisatie is anders en zo ook de aanpak. Natuurlijk zijn er wel een een aantal basisprincipes:
- Welke (mogelijk kwetsbare) apparatuur, software en netwerkverbindingen heb ik in huis? Heb ik een goede back-up?
- Controleer de instellingen van apparatuur, software en netwerk- en internetverbindingen. Pas standaardinstellingen aan en kijk kritisch naar functies en diensten die automatisch ‘aan’ staan.
- Controleer of apparaten en software up-to-date zijn. Installeer beveiligingsupdates direct. Schakel automatische updates in zodat je apparaten en software altijd draaien op de laatste versie.
- Definieer per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Krijgt iemand een andere functie en vertrekt deze persoon bij het bedrijf? Vergeet dan niet om de toegangsrechten aan te passen.
- Vier manieren om malware te voorkomen: (1) stimuleer veilig gedrag van medewerkers, (2) gebruik een antivirusprogramma, (3) download apps op een veilige manier en (4) zorg dat medewerkers niet zelf software kunnen installeren.
Cybersecurity Alliantie heeft de belangrijkste onderwerpen die kunnen helpen als leidraad in het gesprek met je IT-dienstverlener samengevoegd in deze praatplaat.
4. WERKEN AL JE MEDEWERKERS EIGENLIJK WEL DIGITAAL VEILIG?
Je kunt de beste techniek in huis hebben, maar uiteindelijk zijn de medewerkers de belangrijkste poortwachters. Goed geïnstrueerde en getrainde medewerkers dragen bij aan een veilige organisatie. Ze herkennen phising e-mails, werken digitaal veilig en weten hoe ze moeten handelen bij incidenten. Zorg ervoor dat je je medewerkers betrekt in het proces om draagvlak te creëren en wees als directie de grootste ambassadeur van de gekozen cybersecurity strategie.
5. HEB IK GOEDE AFSPRAKEN GEMAAKT OVER CYBERSECURITY MET TOELEVERANCIERS?
Goede cybersecurity stopt niet bij je eigen organisatie, maar gaat over de hele keten van toeleverancier tot eindgebruiker. We werken steeds meer digitaal samen en systemen zijn vaker aan elkaar gekoppeld. De potentiële impact van een cyberincident neemt daardoor toe. Het is belangrijk om hierover in gesprek te gaan met de personen bij je ketenpartners die verantwoordelijk zijn voor cybersecurity. De keten is zo sterk als de zwakste schakel. Laat cybersecurity onderdeel zijn van de samenwerkingsovereenkomst. Maak bijvoorbeeld afspraken over de veiligheidsmaatregelen en hoe te handelen bij incidenten.
6. IS MIJN BEDRIJF VOLDOENDE VOORBEREID OP EEN INCIDENT?
Cybersecurity staat gelukkig steeds hoger op de agenda bij management teams. Veel bedrijven nemen inmiddels de juiste voorzorgsmaatregelen om zich te beschermen tegen een cyberincident. Desondanks kun je alsnog slachtoffer worden. Ben je voorbereid op dit wat-als-scenario? In dit geval geldt: oefening baart kunst. Zie het als een soort jaarlijkse brandoefening, maar dan in de vorm van een cyberoefening. Je traint welke (externe) partijen betrokken moeten worden zodat je zo snel mogelijk weer ‘up and running’ bent.