De onvoorstelbare impact van een cyberaanval

Het is niet de vraag óf je geraakt wordt, maar wannéér het je overkomt! Zelfs als je je als bedrijf hier heel goed bewust van bent, en er optimaal op bent voorbereid, kan het gebeuren. Een hack, het op slinkse wijze binnendringen in de systemen door cybercriminelen. Met enorme schade als gevolg: het ontwrichten en stilleggen van de processen en activiteiten. Kortom, een digitale hartstilstand van je onderneming of organisatie. Met als mogelijk gevolg miljoenen, soms zelfs tientallen miljoenen euro’s schade, nog los van de gigantische losgeldbedragen die vaak worden geëist. Je moet er niet aan denken... Maar hoezeer je je dit ook realiseert, het is niet te bevatten wat de impact écht is als het je daadwérkelijk overkomt.

Zowel wat betreft de gigantische hoeveelheid tijd en werk om de zaken op te lossen – als dat al lukt – als de enorme frustratie en emotie die het met zich meebrengt. Het besef dat alles waar je met je medewerkers iedere dag zo hard voor werkt, met één druk op de knop door een anonieme hacker onder je voeten weggeslagen kan worden, is onvoorstelbaar schokkend.

Bovenstaande tekst komt uit het boek ‘Hack’, geschreven door Edith van Zalinge en beschrijft goed wat één van de redenen is voor aanscherping van de Network Information Security Directive (vanaf hier NIS2). Cybersecurity is niet meer alleen een zaak voor de IT-afdeling, maar voor elke medewerker in een organisatie, en zelfs de keten van leveranciers en partners kun je constateren na het lezen van het boek.

This page is currently not available in the selected language.


Tijd voor actie dus! Wat kun je nu doen om je voor te bereiden?

De eerste stap is het inventariseren en analyseren van risico’s. Informatie is je belangrijkste asset, dus je moet ervoor zorgen dat deze beschikbaar, veilig en beschermd blijft. Elk bedrijf loopt risico’s op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Daarom is het cruciaal om deze risico's in kaart te brengen en passende maatregelen te treffen.

Informatieveiligheid draait niet alleen om techniek, maar zeker ook om mensen en organisatie. Het gaat erom aantoonbaar 'in control' te zijn en compliant zijn aan de wet- en regelgeving. Zelfs met een sterke firewall en duidelijk beleid kunnen risico’s blijven bestaan, zoals medewerkers die bedrijfsdata opslaan op zijn/haar privé Dropbox. Echt veilige informatieverwerking vraagt om een combinatie van technische (ICT) én organisatorische maatregelen (processen en beleid), waarbij je medewerkers betrekt. Zonder die betrokkenheid creëer je een schijnveiligheid.

 

Met deze maatregelen zorg je ervoor dat je organisatie straks voldoet aan de NIS2-richtlijn. 

#1: Krijg inzicht dankzij het Information Security Framework

Het Information Security Framework is een gestructureerde en toegankelijke methode om de situatie rondom informatieveiligheid in kaart te brengen, keuzes te maken over de aanpak en de maatregelen duurzaam te implementeren.

Figuur 1: Informatieveiligheid is een samenspel van Mensen, Techniek en Organisatie.
 

Het doel van de inzichtfase is een eerste beeld te verkrijgen van de wijze waarop de organisatie omgaat met informatie en de daaraan verbonden risico’s. Daarbij worden alle functionele gebieden binnen de organisatie doorgelicht, bestaande uit: medewerkers, apparatuur,  programmatuur,  gegevens, organisatie,  omgeving,  en diensten. Afgekort MAPGOOD.

 

#2: Bepaal wat de impact van een risico is met heatmapping

Niet elk risico hoeft tot een probleem te leiden. De kans dat een risico plaatsvindt kan klein en daarom geaccepteerd zijn. Daarnaast is de impact, als het probleem zich voordoet, voor elk risico verschillend. Met behulp van heatmapping wordt bepaalt wat de kans en de impact is van elk risico. Dat geeft een helder totaalbeeld van de gebieden waar de belangrijkste risico’s liggen en waar als eerste de aandacht op te richten.
 

#3: Toets regelmatig de genomen maatregelen

Iedere organisatie heeft als het goed is al een set aan maatregelen en middelen geïmplementeerd om de veiligheid en privacy van informatie te beschermen. Vraag jezelf daarbij af:

  • Sluiten deze maatregelen nog aan bij de gevonden risico’s en hebben ze het gewenste effect?
  • In hoeverre hebben deze een effect op de dagelijkse werkzaamheden?

Het blokkeren van online services als WeTransfer of Dropbox kan vanuit IT-perspectief wellicht een verstandig besluit zijn, maar als aan de andere kant ‘de business’ dagelijks grote bestanden uit moet wisselen met klanten, dan is een andere oplossing gewenst die zowel veilig als praktisch is. Het kan ook andersom voorkomen dat een IT-manager technische maatregelen heeft getroffen die voor de betreffende situatie te omvangrijk zijn. In zo’n situatie kan een minder omvangrijke oplossing, waarmee de organisatie budget kan besparen, even effectief zijn.

 

#4: Stel een Maturity Level Report op

Het Maturity Level Report biedt een gedetailleerd overzicht van hoe jouw organisatie omgaat met informatie en de daaraan verbonden risico’s. Het helpt je de huidige situatie in kaart te brengen en te kijken naar wat nodig is om compliant te zijn met NIS2.

 

#5: Schrijf een Information Security & Privacy Plan

Het bepalen van de acties en prioriteiten op basis van de voorgaande stappen is de verantwoordelijkheid van het management. De uitkomst van de inventarisatie bepaalt de belangrijkste aandachtsgebieden. Gecombineerd met de maatregelentoets geeft dit de input voor het Information Security & Privacy Plan. Nadat de situatie rondom de informatieveiligheid en privacy in kaart is gebracht, kun je op basis daarvan keuzes maken over de aanpak en de maatregelen om de privacy en veiligheid te implementeren en duurzaam te borgen.
 

#6: Workshops en communicatie door Bechtle en partners

In elk traject dat we opstarten, kunnen we verschillende workshops organiseren. Bijvoorbeeld met het management om de prioriteiten en het plan van aanpak te bepalen, met de teams om ze te betrekken bij en te informeren over de uitwerking van de maatregelen binnen hun domein. We hebben een brede set aan werkvormen en instrumenten opgezet om dat voor jouw organisatie te faciliteren, afhankelijk van de wensen en behoeften.
 

#7: Projectmanagement als basis

We gebruiken de principes en technieken van projectmanagement. Inclusief een project-governance structuur met een Stuurgroep, Projectgroep en diverse Werkgroepen waarin betrokkenen uit meerdere delen van de organisatie een plek hebben. Hiermee zetten we direct een belangrijke stap en basis voor de betrokkenheid en borging binnen alle delen van de organisatie. Dat zorgt ervoor dat we met de juiste mensen, op tijd en binnen budget de acties uitvoeren.

De uitgangspunten van scrum en Agile staan centraal. In korte cycli met overzichtelijke en haalbare stappen gaan we het plan implementeren. Daarmee hebben we snel resultaat en kunnen wij tijdig bijsturen als de situatie daarom vraagt.

 

#8: Beleid en processen beter sturen en controleren

Binnen veel organisaties zien we dat beleidsdocumenten en processen niet aanwezig, actueel en/of geborgd zijn. De aanwezige processen en stukken zijn vaak ‘ontstaan’ tijdens de dagelijkse gang van zaken en worden naargelang de behoefte aangepast of aangevuld. Doordat we het bestaande beleid en processen actualiseren realiseren we een nauwe aansluiting op de gewenste werkwijze en brengen we deze opnieuw onder de aandacht. Zo zorgen we voor een kwaliteitsslag in de manier van werken. Dit biedt jouw organisatie ook de mogelijkheid om beter te sturen en te controleren of alles volgens de uitgangspunten werkt. Jij komt zo makkelijker ‘in control’ en wordt compliant aan de wet- en regelgeving.
 

#9: Maak gebruik van een Information Security Management System

Onvermijdelijk in dit soort trajecten is een stevige hoeveelheid documenten, procesbeschrijvingen, afspraken en acties. Om dat allemaal toegankelijk, overzichtelijk en actueel te houden maken we gebruik van een Information Security Management Systeem en/of Privacy Management Systeem. Dat zijn softwaretools in de cloud waar deze informatie volgens een vaste structuur opgeslagen wordt. Het ondersteunt tevens het projectmanagement door de mogelijkheid te bieden activiteiten en taken op te voeren en de actiehouder een reminder te sturen op het moment dat dat nodig is.

Hulp nodig? Neem contact op

Heeft jouw organisatie hulp nodig bij de voorbereiding op de NIS2-wetgeving? Neem gerust contact met mij op, dan kijken we samen naar de mogelijkheden.

Patrick Voss

Solution advisor security

T +31 88 7078 315
patrick.voss@bechtle.com
security.nl@bechtle.com