Cybersecurity Awareness Month in oktober is al meer dan twintig jaar hét moment om de uitdagingen en praktijken van goede cybersecurity in de schijnwerpers te plaatsen. Het bestaan van deze maand is een goede zaak als je naar de vele cyberincidenten kijkt. Cybersecurity Awareness Month is dus belangrijk, maar we moeten er wel op letten dat we de juiste doelgroep aanspreken en dat cybersecurity een continu proces is.
Hoe meer aandacht een probleem krijgt en hoe vaker het in het nieuws komt, des te meer mensen zich bewust zijn. Maar bewustzijn creëren is niet genoeg. Het is slechts de eerste stap, want nadien moet je er wel wat mee doen. In dat opzicht is het positief dat wetgevingen zoals NIS2 en DORA het vizier op C-level hebben gericht. Dankzij deze wetgeving is de board van een bedrijf nu echt aansprakelijk en moeten ze dus wel interesse tonen in cyberdreigingen en beveiliging.
Dat die verschuiving overal bezig is, blijkt uit een recente cyberaanval bij de vliegtuigmaatschappij Qantas. Het bestuur van het bedrijf greep als sanctie naast een aantrekkelijke bonus. In het geval van de CEO ging het zelfs over 250.000 dollar. Dit soort verhalen maakt van cybersecurity ook in andere organisaties plots een prioriteit. Tijdens evenementen met executives is er altijd iemand die al eens met een cyberaanval moest afrekenen. Getuigenissen van peers maken het onderwerp bespreekbaar en zorgen ervoor dat de verantwoordelijkheid stilaan bij de juiste personen ligt.
Focus op C-level, niet alleen op IT
Dat we meer volwassen worden, blijkt ook uit Cybersecurity Awareness Month. Als je ziet waar het initiatief ooit begonnen is, dan staan we vandaag toch veel verder. De populariteit van deze maand zal blijven toenemen, op voorwaarde dat we de juiste thema’s behandelen. Dat lijkt wel goed te zitten, al moeten we ook opletten dat we onze doelgroep niet voorbijfietsen. C-level zit nog steeds met heel basic vragen op het gebied van cybersecurity en daar moeten we hoe dan ook een antwoord op bieden. Door alleen op IT-mensen te focussen komen we nergens, want zij zijn natuurlijk al op de hoogte van de cyberrisico’s en het belang van weerbaarheid.
Weerbaarheid is bovendien geen afvinkoefening waar we ons één keer per jaar mee bezighouden, maar een continu proces dat dagelijks aandacht verdient. Vroeger werd een probleem al te gauw in de schoenen van IT geschoven, omdat het een digitale kwestie was. Dat kan nu niet meer. De hele organisatie is digitaal en dus valt cybersecurity onder het portfolio van de directie. Beveiliging gaat meer dan ooit over risico’s, relevantie en ROI.
Leren uit cyberincidenten
Op die manier valt het onderwerp dus volledig binnen de scope van C-level, en vaak ontbreekt het daar aan kennis. Bedrijven zijn in sneltreinvaart digitaal geworden, maar in de gemiddelde board zijn pakweg zeven op tien niet mee. Gelukkig zien we veel bereidheid om te leren. Meer volwassen organisaties hebben daarom een CISO of CTO in het bestuur opgenomen. Iemand die de board vertrouwt en die andere bestuurders wegwijs kan maken in de digitale wereld. Iemand die uitlegt wat de risico’s zijn en hoe de organisatie zich daartegen kan wapenen.
Wie de risico’s aanvaard heeft, maakt vooruitgang. Terwijl ook deze organisaties worden getroffen door cyberaanvallen, zijn ze veel weerbaarder. Dit betekent dat ze sneller operationeel zijn en zich opnieuw op hun kernactiviteiten kunnen focussen. Het is niet meer de vraag of en wanneer een cyberincident zal gebeuren, maar wel hoe vaak je ermee te maken krijgt en hoe je ervan leert. Die laatste stap is cruciaal in een evaluatie: wat is er gebeurd? Wat moeten we onthouden? En hoe gaan we beter doen in de toekomst?
Perceptie tegenover realiteit
De grootste uitdaging is dat veel executives niet in een digitale wereld zijn opgegroeid. Als er straks meer jonge bestuurders aan het roer komen, zal ook de digitale kennis wellicht verbeteren. Maar daar mogen we niet op wachten. We moeten bewustzijn blijven creëren, zodat de geschiedenis zich niet herhaalt. Uiteindelijk zien we dat alles terugkeert, maar tegelijkertijd ook verandert. In de jaren 90 en het begin van de jaren 2000 spraken we nog massaal over virusaanvallen. Vandaag hebben die virussen plaats geruimd voor andere dreigingen zoals ransomware. Ook bewustzijn en initiatieven zoals Cyber Awareness Month moeten zich dus aanpassen aan de nieuwe realiteit.
Tot slot moeten we iedere doelgroep meekrijgen en mag het thema niet alleen in oktober op de agenda staan. Uiteindelijk willen organisaties iedere maand van het jaar weerbaar en veilig zijn. Veel bedrijven denken overigens dat ze het goed doen, maar blijken een stuk kwetsbaarder dan ze vermoeden. Daarom is het belangrijk dat we de afstand tussen perceptie en realiteit verkleinen. Zo mist Cyber Awareness Month z’n effect niet en zorgen we ervoor dat we tijdens deze maand op termijn geen bewustzijn meer moeten creëren, maar met z’n allen mogen vieren dat we veilig zijn.
De auteur is Edwin Weijdema, field CTO EMEA & Cybersecurity lead bij Veeam
