Laten we leren omgaan met onze “risk appetite”

apr 9, 2019 | Cyber Security | 0 Reacties

Wat is mijn “risk appetite”? Welk risiconiveau ben ik bereid te aanvaarden om mijn projecten en doelstellingen te bereiken? Een gevoelige kwestie.

Volgens de specialisten van Securelink moeten we leren omgaan met onze “risk appetite”, onze risicobereidheid. Maar daar zouden we nog lang niet zijn. Wanneer ons over cybersecurity wordt verteld, zien wij slechts de gevaren, de beperkingen en de kosten eerder dan een waaier van risico’s om te overwegen en die in vele kansen kan worden omgezet om onze digitale organisatie te structureren.

Maar wat is een risico nu eigenlijk? Een risico is een voorwaardelijke en schadelijke gebeurtenis die kan leiden tot gedeeltelijke veranderingen of die zelfs een informatiesysteem volledig kan neutraliseren. Bij IT-beveiliging is het risico verbonden aan de mogelijkheid van een vrijwillige of onvrijwillige IT-dreiging, intern of extern aan het informatiesysteem. Het IT-risico hangt samen met de kennis van de business, de beheersing van de IT-tool en het gebruik van controlemiddelen.

Kleine bedrijven … misschien wel de meest bedreigde

“Hoewel bedrijven niet zonder een geavanceerde, gestructureerde en innovatieve technologische reactie kunnen, moeten ze niet denken dat de reactie op cyberaanvallen alleen technologisch moet zijn”, schat Jo Vander Schueren, General Manager bij Securelink, in. Cybersecurity is ook een kwestie die te maken heeft met organisatorische en menselijke kapitaalkwesties binnen bedrijven. En dit voor alle bedrijven, groot en klein.

Vooral de kleinere, die vaak niet over de middelen beschikken om hun risico’s in te schatten. “Het is een vergissing om te denken dat je veiliger bent omdat je een klein bedrijf bent”, verzekert Simen Van der Perre, Technical Director bij Securelink. In ons laatste jaarverslag hebben we kunnen vaststellen dat kleine bedrijven per werknemer bijna vijf keer zo vaak slachtoffer zijn van aanvallen als grote bedrijven. De eindgebruiker blijft het eenvoudigste doelwit: de aanval wordt zelden gedetecteerd en de deur blijft dus lang open staan.

Cybersecurity-risico’s kunnen kansen voor een bedrijf worden: de mogelijkheid om opnieuw na te denken over de organisatie van haar menselijk kapitaal en zo de meest verstandige investeringen te doen in haar digitale beleid. Met andere woorden, we moeten “de politiek van angstmarketing afwijzen”, want nulrisico zal nooit bestaan en “een risicobereidheid ontwikkelen”, juist om onze organisatie zo effectief mogelijk te structureren en op die manier beter op risico’s te reageren. “Gegevens worden de nieuwe troef van bedrijven, dus is het nu tijd om deze gegevens om te zetten in evenveel innovatiekanalen”.

De mens als middelpunt van elk project

Hoewel er technologieën op het gebied van cyberdefensie bestaan, is het nu noodzakelijk om organisaties en mensen in staat te stellen deze te gebruiken. Waarschuwingstechnologieën zijn aanwezig en werken relatief goed. Nochtans zijn noch de organisatie van de entiteit, noch de verantwoordelijken binnen de organisatie voldoende voorbereid om te reageren. Bedrijven moeten daarom hun cyberdefensiestrategieën heroverwegen en daartoe hun interne organisaties opnieuw uitvinden door de mens centraal te stellen in het project. Beveiligingsincidenten veroorzaakt door een werknemer nemen inderdaad voortdurend toe. “Nu bedrijven grotendeels zijn begonnen met na te denken over hun digitale transformatie, zal de uitdaging de komende jaren zijn om van cybersecurity de hoeksteen van deze digitale transformatie te maken,” zegt Jo Vander Schueren.

Leiders nemen betere beslissingen wanneer zij in staat zijn gesteld om risico’s en hun potentiële impact duidelijk te identificeren. Het huidige voorbeeld, zo verklaren de specialisten van Securelink, is ongetwijfeld de overgang naar de cloud, die door steeds meer executives wordt beschouwd als onderdeel van het digitale transformatiebeleid. De belangrijkste vertragende factor is bekend: veiligheid. Om die op te heffen en de uitvoering van de overgang op gang te brengen, is het daarom noodzakelijk om snel een grondige risicoanalyse uit te voeren die alle mogelijke effecten meet, of het nu gaat om technische, menselijke of regelgevende effecten.

Ces articles parlent de "Cybersecurity"

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC

Follow this topic