Cybersecurity: wanneer en waar te beginnen?
title: "Cybersecurity: wanneer en waar te beginnen?" description: "Cyberaanvallen op kleine en middelgrote bedrijven zijn in opkomst. Maar wanneer moet je beveiligingsmaatregelen implementeren, een verzekering afsluiten of een certificering behalen?" date: "2023-03-24" categories: ["Blog", "ISO27001"] imageUrl: "blog_journey.jpg" imageCredit: "Afbeeldingsbron: Bing image creator" published: true nrWords: 977 authors: ["Dennis van de Wiel"]
Cybercriminaliteit neemt al jaren toe, waarbij 48% van de bedrijven in 2022 een cyberaanval meldt (bron: Hiscox Cyber Readiness Report 2022). Als gevolg hiervan nemen veel bedrijven proactieve maatregelen om hun gevoelige informatie, intellectueel eigendom en klantgegevens te beschermen. Voor het midden- en kleinbedrijf (MKB) kan het echter moeilijk zijn om te weten wanneer en waar te beginnen met cybersecurity. Uiteraard komen het creëren van een levensvatbaar product en het veroveren van marktaandeel op de eerste plaats.
Waar komt cybersecurity dan in beeld? En compliance?
In dit artikel geven we een praktisch overzicht van de reis die bedrijven doorlopen op het gebied van cybersecurity, waarbij we het MKB helpen te identificeren waar ze staan en op welke signalen ze moeten letten om te bepalen wanneer het tijd is om naar de volgende fase te gaan. Dit omvat onder meer het besluit wanneer een certificering zoals ISO27001 na te streven of een cybersecurityverzekering af te sluiten.
Fase 1: Informele maatregelen
De meeste MKB-bedrijven erkennen de noodzaak van informatiebeveiliging en velen hebben al basisbeveiligingsmaatregelen getroffen, zelfs als dit onbewust gebeurt.
Bijvoorbeeld: gebruikersgegevens worden persoonlijk gehouden en multi-factor authenticatie wordt afgedwongen voor kritieke diensten. Wanneer clouddiensten worden gebruikt, worden deze geconfigureerd met standaard beveiligingsinstellingen, die al bescherming bieden tegen een groot aantal beveiligingsdreigingen. En een e-mailservice kan worden geconfigureerd met de standaard phishing-beschermingsmaatregelen.
Er is echter mogelijk geen formele documentatie of beleid om te beschrijven welke maatregelen nodig zijn, wanneer deze moeten worden uitgevoerd of wie verantwoordelijk is. Als gevolg hiervan worden deze maatregelen mogelijk niet consistent toegepast of werken ze niet effectief.
Fase 2: Implementatie van een ISMS
De volgende fase is het opzetten van een formeel informatiebeveiliging managementsysteem (ISMS), gedreven door een intrinsieke motivatie om 'het goed te doen' of externe factoren zoals eisen van klanten, licentievereisten of beveiligingsinbreuken.
Dit omvat het documenteren van beleid en procedures, en het implementeren en uitvoeren van consistente maatregelen. Risicobeoordelingen helpen bij het detecteren van hiaten en onverminderde informatierisico's. Nieuwe maatregelen kunnen nodig zijn om deze risico's te beperken.
Echter, zelfs een effectief informatiebeveiliging managementsysteem (ISMS) is mogelijk niet bestand tegen veranderende bedrijfsbehoeften en opkomende dreigingen als het niet mee-evolueert met de organisatie.
Fase 3: Business as usual
In deze fase worden waarborgen ontwikkeld om te voorkomen dat het ISMS uit de pas loopt met het bedrijf, wat duplicaties en andere inefficiënties veroorzaakt, en verlies van snelheid en flexibiliteit. Dit omvat het implementeren van procedures voor het identificeren van nieuwe of ontwikkelde risico's, maar ook verspilling van waardevolle middelen en verlies van bedrijfsflexibiliteit, als maatregelen 'bovenop' het bedrijfsproces worden uitgevoerd.
In deze fase zijn continue monitoring en automatisering van activiteiten onmisbaar om in de eindfase te komen, waarin beveiligingscontroles continu worden gemonitord en geoptimaliseerd om te voldoen aan veranderende bedrijfsbehoeften en opkomende dreigingen.
Cyberverzekering
Veel bedrijven kiezen ervoor om een cybersecurityverzekering af te sluiten tijdens de eerste ontwikkelingsfasen. Dit is enige tijd een redelijke beslissing geweest, aangezien cybersecurity de financiële gevolgen van beveiligingsinbreuken of andere storingen kan verlichten, die waarschijnlijk zullen optreden gezien het bestaan van beveiligingskwetsbaarheden.
Door verschillende spraakmakende hacks zijn verzekeraars echter voorzichtiger geworden in hun aanpak. Premies zijn gestegen en verzekeringsvoorwaarden zijn bijgewerkt om rekening te houden met deze scenario's. Om in aanmerking te komen voor verzekeringsdekking hebben verzekeringsmaatschappijen hun onboarding due diligence verhoogd door een grotere set ISMS-elementen verplicht te stellen.
Daarom wordt aanbevolen om eerst een ISMS te implementeren en vervolgens een cyberverzekering af te sluiten om het restrisico van onvoorziene gebeurtenissen over te dragen aan een externe verzekeraar.
ISO27001-certificering
ISO 27001 is een wereldwijd erkende standaard voor het beheren van informatiebeveiliging. Een organisatie moet bewijzen dat het met succes een ISMS heeft opgezet dat voldoet aan de eisen van de standaard om certificering te verkrijgen. Een geaccrediteerde certificatie-instelling voert een audit uit om te verifiëren of de organisatie passend beleid, procedures en maatregelen heeft geïmplementeerd om aan de eisen te voldoen.
Hoewel sommige organisaties geloven dat ze een feilloos ISMS moeten hebben om certificering te ontvangen, is dit niet accuraat. In feite vereist het certificeringsproces dat het management hiaten identificeert en plannen communiceert om deze aan te pakken.
En dit maakt het des te interessanter om vroeg met het proces te beginnen. ISO 27001 is een waardevolle referentie en bewijs om aan klanten, partners en andere belanghebbenden te laten zien dat de organisatie informatiebeveiliging serieus neemt en een systeem heeft geïmplementeerd om hun gevoelige informatie en bezittingen te beschermen.
Je ISMS versnellen
De implementatie van een ISMS kan overal tussen de 2 maanden en 2 jaar duren. Dit hangt af van de complexiteit van de organisatie, maar bij MKB-bedrijven is het waarschijnlijker en gebruikelijker dat het lijdt onder een gebrek aan middelen, expertise en focus.
Steeds meer organisaties ontdekken echter dat het ook mogelijk is om het proces te versnellen door gebruik te maken van een platform zoals Tidal Control, dat een instant ISMS biedt, met toegang tot bewezen documentatiesjablonen, lijst met concrete taken om aan te werken, en geautomatiseerde bewijsverzamelaars.
Tidal Control is specifiek gericht op het MKB: Het houdt het proces eenvoudig, biedt sjablonen zonder overbodige zaken, en levert realtime rapporten om je te helpen taken tot voltooiing te volgen. Ten slotte staan onze experts altijd aan je zijde om ervoor te zorgen dat je een ISMS krijgt dat past als een handschoen.
En dit maakt het des te interessanter om vroeg met het proces te beginnen. ISO 27001 is een waardevolle referentie en bewijs om aan klanten, partners en andere belanghebbenden te laten zien dat de organisatie informatiebeveiliging serieus neemt en een systeem heeft geïmplementeerd om hun gevoelige informatie en bezittingen te beschermen.
Conclusie
Cybersecurity is een kritisch aspect van elke MKB-bedrijfsstrategie. Met het toenemende aantal cyberdreigingen en -aanvallen moeten MKB-bedrijven nadenken over maatregelen om hun gevoelige informatie, intellectueel eigendom en klantgegevens te beschermen. Maar het kiezen van de juiste aanpak hangt af van verschillende factoren, zoals budget, risicobereidheid, regelgevingsvereisten en expertise die beschikbaar is in het bedrijf.
Toch loont het vaak om het vanaf het begin 'goed te doen' en een ISMS te implementeren, omdat het gunstige verzekeringsvoorwaarden ontsluit en vertrouwen opbouwt bij klanten, investeerders, toezichthouders en andere belanghebbenden.
Compliance-automatiseringsplatforms zoals Tidal Control kunnen helpen het proces te versnellen en de werkdruk aanzienlijk te verminderen door expertise, documentatie, bewijsverzameling en projectmanagement te bieden.
Geschreven door Dennis van de Wiel, Oprichter