BeveiligingHeb jij als IT-manager ideeën om je organisatie beter te beveiligen, maar weet je niet goed hoe je ze over de bühne krijgt? Ontdek hoe je zorgt dat jouw plannen op het gebied van security beleid draagvlak krijgen bij de juiste mensen.
Dit is het derde artikel uit onze reeks over de businesscase van goede security. In het eerste artikel lees je alles over de kansen die security biedt aan de gehele organisatie. Vervolgens wordt in het tweede artikel uitgelicht hoe geldbesparend en productiviteitsverhogend focus op security kan zijn.
Dit laatste artikel gaat over hoe je de directie kunt overtuigen om budget vrij te maken voor dit onderwerp. Hoe overtuig je hen dat investeren in security voordelen oplevert voor het hele bedrijf?
Security beleid biedt kansen
Binnen sommige organisaties wordt IT vooral gezien als een ‘moetje’ om het bedrijf draaiende te houden. Het levert in de ogen van de directie niet direct geld op, er gaat alleen geld naartoe.
De IT-afdeling bewijst voor veel mensen pas ècht zijn waarde als er een probleem wordt opgelost. Denk bijvoorbeeld aan damage-control bij een hack, of het oplossen van een technisch mankement.
Nu investeren zorgt voor minder uitgaven in de toekomst
Het kan lastig zijn om duidelijk te maken dat je misschien wel meer geld of collega’s nodig hebt om cybercrime te voorkomen. Daarom is het belangrijk om te benadrukken dat cyberaanvallen veel geld kosten, en dat voorkomen beter is dan genezen.
Daarnaast is het slim om uit te leggen dat wanneer je organisatie slachtoffer wordt van cybercrime, er een enorm productiviteitsverlies optreedt. Medewerkers kunnen namelijk vaak langere tijd niet aan de slag.
Cybercrime flink in opkomst
De afgelopen jaren zijn cyberincidenten regelmatig in het nieuws geweest. Uit onderzoek van ABN AMRO in samenwerking met onderzoeksbureau MWM2, blijkt dat cybercrime een steeds grote probleem wordt.
In 2020 werd ‘slechts’ 29% procent van de bedrijven slachtoffer van cybercrime. Dit was in 2021 gestegen tot maar liefst 45%. Toch denken middelgrote en kleine bedrijven vaak dat ze weinig risico lopen. Als je de directie wilt beïnvloeden om meer budget vrij te maken voor cybersecurity, is het dus belangrijk om heel concreet te maken wat de gevaren zijn.
Directie overtuigen? Maak de gevaren concreet
Reken hiervoor door wat het zou kosten als belangrijke devices gegijzeld worden, en er losgeld wordt gevraagd. Wanneer er ook sprake is van een datalek, kun je ook een flinke boete opgelegd krijgen door de Autoriteit Persoonsgegevens.
Uiteraard is de reputatieschade en onrust op de werkvloer net zo belangrijker om te benoemen. Een cyberincident kan gigantische impact hebben op alle betrokkenen. Dit kun je nog concreter maken door je directie voorbeelden te geven van cyberaanvallen.
Voorbeelden gefaald security beleid
Stel, je medewerkers krijgen een mail van de hoogste baas binnen het bedrijf. Zouden ze deze openen? Wanneer cybercriminelen zich voordoen als de eigenaar van een bedrijf, noemen we dat ook wel CEO-fraude. Een berucht voorbeeld hiervan is de fraude bij bioscoopketen Pathe.
De hackers deden zich voor als directieleden van het Franse hoofdkantoor van Pathé, en stuurden een mail aan de Nederlandse directie met de vraag een grote som geld over te maken.
Dit zou nodig zijn om een overname in het buitenland, en de Nederlandse directie mocht er niet over praten met derden, om de concurrentie voor te kunnen zijn. Hoewel de Nederlanders hun twijfels hadden, werkten ze mee. Ze verloren maar liefst 19 miljoen euro.
Hackers uit Noord-Korea
Een opvallend voorbeeld is een phishingmail van de Lazarus APT-groep aan een luchtvaartbedrijf in Nederland en een politiek journalist in België. Zij kregen zogenaamd een aanbod om bij Amazon te komen werken. In de bijlage zaten documenten in Amazon-thema.
Wanneer de ontvangers deze documenten openden, werden verschillende virussen op hun computers losgelaten om data te stelen. De computer van het Nederlandse slachtoffer was aangesloten op het bedrijfsnetwerk, waardoor meerdere systemen konden worden aangestuurd door de hackers. Denk hierbij aan:
- Het herschrijven of verwijderen van bestanden
- Schermafbeeldingen maken
- Bestanden downloaden en uploaden
Het is dus zeer belangrijk om het gedrag van de eindgebruikers mee te nemen bij het opstellen van je security beleid.
Met goed security beleid voorspel èn voorkom je crashes
Een kapot device kan flink roet in de werkdag van de eindgebruiker gooien. In veel gevallen duurt het namelijk even voordat het apparaat gemaakt wordt, waardoor de medewerker een stuk minder productief is.
Hoe fijn is het dan om te kunnen voorspellen wanneer een apparaat of onderdeel aan vervanging toe is? Grote kans dat het weinig moeite kost om je directie te overtuigen van het feit dat voorkomen beter is dan genezen.
Voorspellen met kunstmatige intelligentie
Er zijn tegenwoordig verschillende tools beschikbaar waarmee je kunt bijhouden welke hardware-problemen zich voordoen bij bepaalde devices. Tegelijkertijd worden factoren als temperatuur, de staat van het Operating System en de volheid van de harde schijf meegenomen.
Op basis van kunstmatige intelligentie kan dan voorspeld worden welke andere devices het risico lopen om stuk te gaan. Zo kun je als IT-afdeling ingrijpen voordat een apparaat crasht. Dat kost minder tijd en helpt de schade te beperken. Ook raken medewerkers minder gefrustreerd en blijven ze over het algemeen tevredener en productiever.
Binnen de IT-afdeling zit vaak ontzettend veel kennis, bijvoorbeeld over cybersecurity. Die kennis heeft nog veel meer waarde wanneer het wordt gedeeld met de rest van de organisatie. Focus hierbij niet alleen op de directie.
Bij een cyberaanval blijkt in veel gevallen de gebruiker de zwakste schakel. Zo klikt iemand wellicht op een gevaarlijke link, of worden er gevoelige bestanden onversleuteld gedeeld. Door eindgebruikers voor te lichten over de gevaren, èn wat je als IT-afdeling doet om deze af te wenden, wordt je toegevoegde waarde zichtbaarder.
Benadruk ook de kansen van innovatie
De meeste bedrijven willen graag vernieuwend zijn, maar betrekken de IT-afdeling hier veel te laat bij. Doordat IT’ers nog te vaak het imago van probleemoplossers hebben, krijgen ze geen kans om zich te ontwikkelen tot experts op het gebied van Artificial Intelligence, data science en Internet of Things.
Ga hierover in gesprek met de directie, en zorg dat je een aantal mooie voorbeelden paraat hebt van bedrijven waar de IT-afdeling leidend was op het gebied van innovatie:
- Bij Stella Fietsen werkt de IT-afdeling aan het uitbrengen van IOT-simkaarten voor nieuwe fietsen. Hiermee wordt de fiets volledig verbonden met de cloud.
- Bij Purple werkt de IT-afdeling aan digitale storytelling in innovatieve experience centers.
