Elk bedrijf wordt vroeg of laat slachtoffer van cybercriminaliteit. Maar de grote meerderheid van de organisaties is zeer slecht uitgerust om met die dreiging om te gaan. De EY studie 'Get Ahead of Cybercrime' vraagt zich af waarom zoveel ondernemingen ter plaatse blijven trappelen en niet uit de startblokken geraken.
De meeste organisaties (76%) voelen zich almaar meer blootgesteld aan cybercriminaliteit. Toch hebben meer dan twee derde (67%) van de ondervraagde bedrijven geen realtime informatie over cyberrisico’s. Die is nochtans broodnodig om de reële bedreigingen aan te pakken. Dat is een van de belangrijkste bevindingen van de jaarlijkse wereldwijde studie van EY over informatiebeveiliging, Get Ahead of Cybercrime. Voor de studie werden dit jaar 1.825 organisaties in 60 landen ondervraagd. Uit de resultaten van de Belgische respondenten blijkt dat ondernemingen de alertheid, het budget en de competenties missen om hun nochtans bekende zwakke plekken beter te verdedigen. 49 procent van de respondenten verandert nauwelijks iets aan hun totale budget voor informatiebeveiliging de komende 12 maanden, ondanks de toegenomen bedreigingen.
Lees hier de volledige studie.
Dat is slechts een lichte verbetering in vergelijking met 2013, toen nog 52 procent van de respondenten verklaarde hun budget te bevriezen. Een groot obstakel voor een adequaat informatiebeveiligingsbeleid is het tekort aan deskundige medewerkers, zegt bijna de helft (44%) van de ondervraagde bedrijven. Geen wonder als je ziet dat slechts 4 procent een team van toegewijde en deskundige analisten heeft dat zich kan toeleggen op cyberbedreigingen.
Ook deze cijfers verschillen weinig van die van 2013, toen 50 procent een tekort aan deskundige medewerkers vernoemde en 4 procent vertelde dat ze beschikten over een team analisten voor cyberbedreigingen. Kwetsbaarheden door slordige of onwetende werknemers blijkt de voornaamste kwetsbaarheid. 83 procent van de Belgische respondenten geeft aan dat dit het risicoprofiel van de onderneming het meest beïnvloedt. Ongeautoriseerde toegang tot bedrijfsinformatie en verouderde informatiebeveiligingscontroles en –architectuur komen respectievelijk op de tweede en derde plaats met 50 procent en 45 procent. De belangrijkste bedreigingen zijn phishing, malware en fraude. Ze worden door respectievelijk 52, 50 en 24 procent genoemd als één van de voornaamste prioriteiten.
Proactieve aanpak
De studie van dit jaar toont aan dat organisaties zich beter moeten voorbereiden op aanvallen in een omgeving waarin cyberinbreuken niet te voorkomen zijn. Bovendien komen de bedreigingen van alsmaar meer vindingrijke en kapitaalkrachtige bronnen. Cyberaanvallen kunnen verstrekkende gevolgen hebben. Niet alleen financieel, maar ook in de vorm van merk- en reputatieschade, verlies van competitief voordeel en regelgevende non-compliance. Organisaties moeten van een reactieve naar een proactieve aanpak overstappen en ervoor zorgen dat ze niet langer een gemakkelijk doelwit zijn voor cybercriminelen, maar een meer geduchte tegenstander. Uit de studie blijkt ook dat te veel organisaties de fundamentele beginselen van cyberveiligheid nog altijd onvoldoende onder de knie hebben.
Bovendien heeft de top te weinig aandacht voor het probleem en ontbreken welomschreven procedures en praktijken. Veel organisaties beschikken niet over een operationeel veiligheidsteam, en ook dat is een ernstige reden tot bezorgdheid.
Naast de interne bedreigingen moeten organisaties ook grondig nadenken over het ecosysteem van hun bedrijf en over hoe relaties met derden en leveranciers hun veiligheidsbeleid kunnen beïnvloeden. Het is bovendien belangrijk om samen te werken met externe partijen ten behoeve van een betere cybersecurity. Er is niet alleen een businessgedreven ecosysteem nodig, maar evengoed een security-driven ecosysteem waarin sectorgenoten en de overheid een rol kunnen spelen.
Want alleen door optimaal voorbereid te zijn op cyberdreigingen kan een organisatie profiteren van haar investeringen in cyberveiligheid. Pas als alle componenten voorhanden zijn en de beveiligingsprocessen en -systemen zich kunnen aanpassen aan veranderingen, kunnen bedrijven cybercriminelen een stap voor blijven.
Organisaties moeten cyberveiligheid beschouwen als een competitieve kerncompetentie. Dat kan alleen als ze goed voorbereid zijn, voldoende anticiperen op nieuwe bedreigingen en hun slachtofferrol verlaten. Hoe maakt u van cyberveiligheid een kerncompetentie?
- Wees alert. Het management moet cyberdreigingen en -risico’s ernstig nemen en de nodige prioriteit verlenen. Zorg voor een dynamisch beslissingsproces dat snelle, preventieve acties mogelijk maakt. Alertheid is een sleutelwoord bij mogelijke dreigingen.
- Ken de bedreigingen. Organisaties moeten een uitgebreide maar gerichte kennis hebben van alle bedreigingen en van wat die betekenen voor hun organisatie. Dat kan alleen door voldoende tijd en middelen te investeren in de analyse van de cyberdreigingen.
- Bescherm de kroonjuwelen van uw organisatie. De hele organisatie moet zich bewust zijn van de middelen die het meest waardevol zijn voor het bedrijf. Geef genoeg aandacht aan de kwetsbaarheid van uw waardevolle middelen en zorg voor een optimale bescherming.
- Focus op de aanpak van incidenten en crisissituaties. Toets regelmatig de competenties van uw organisatie af. Test uw beveiliging op lekken door incidenten en crisissituaties te simuleren.
- Blijf leren en evolueren. Forensisch onderzoek naar cyberveiligheid is een cruciaal onderdeel van een adequate aanpak. Organisaties moeten de gegevens over incidenten en aanvallen nauwkeurig verzamelen en analyseren. Ze moeten vermijden om in de eigen hoek te blijven werken en moeten samenwerken om te leren van elkaars ervaringen en incidenten. Want de conclusies van die analyse en samenwerking kunnen leiden tot een beter beveiligd bedrijf.