Risicoanalyse cybersecurity: hoeveel gevaar loopt jouw organisatie?

Cybersecurity is een belangrijk thema voor veel bedrijven. Hoeveel IT-risico’s loopt jouw organisatie en wat kun je hieraan doen? “Je ziet soms organisaties die na een incident helemaal doorslaan. Ik denk dat het goed is om te accepteren dat er een gevaar is, zo word je een beetje cyberzenn.”

Het lijkt wel alsof er de laatste jaren een enorme toename aan cyberaanvallen is. Toch is dit niet per se waar, zegt Bernold Nieuwesteeg. Bernold is directeur van het Center for the Law and Economics of Cyber Security aan de Erasmus Universiteit, onafhankelijk adviseur op het gebied van cybersecurity en digitale autonomie en columnist voor Data Cyber Security & Privacy..

“Als je het wetenschappelijk onderzoek erop naslaat, zie je dat de hoeveelheid aanvallen niet eens zoveel toegenomen is. Wel is de ernst van die aanvallen toegenomen. Ze hebben een grotere impact en zorgen voor meer schade.”

Aanvallen op de supply chain

Bernold Nieuwesteeg risocoanalyse cybersecurity

Bernold vertelt dat supply chain-aanvallen bijzonder veel schade kunnen aanrichten. Hierbij heeft een cyberaanval effect op de klanten van het aangevallen bedrijf. “Zo vond er bijvoorbeeld een aanval plaats op een bedrijf dat IT-systemen maakt waarmee bedrijven bij klanten in de systemen kunnen kijken.”

“Toen dit systeem gehackt werd, waren niet alleen de klanten van het gehackte bedrijf de sigaar, maar ook hun klanten. Eén aanval zorgt dan voor veel problemen.”

Risicoanalyse cybersecurity: hoeveel risico loopt mijn bedrijf?

Hoeveel IT-risico’s jouw bedrijf loopt, hangt sterk af van het type organisatie dat je hebt. “Criminelen kijken op een steeds commerciëlere manier naar een aanval. Ze gaan voor de wat grotere organisaties, in plaats van Pietje om de hoek. Ze gaan ook niet voor te grote organisaties, omdat die vaak te goed beveiligd zijn.”

Als mkb’er loop je dus het meeste risico om slachtoffer te worden van cybercriminelen. Ook je branche maakt een verschil. “Als je meer in de marketing, creatieve industrie of zakelijke dienstverlening zit, gebruik je waarschijnlijk niet zulke spannende software. Daar wordt vooral gewerkt met cloudoplossingen van Google en Microsoft.”

Deze aanbieders zorgen ervoor dat je al aardig beschermd bent tegen aanvallen. Wel is het uiteraard belangrijk om te zorgen dat deze tools up-to-date blijven. “Het wordt pas gevaarlijker als je op maat gemaakte computersystemen hebt, die meerdere mensen moeten gebruiken. Zeker wanneer er ook klanten toegang moeten krijgen.”

Wat kun je doen om IT-risico’s aan te pakken?

Als je een risicoanalyse cybersecurity hebt gedaan, is het tijd om gepaste maatregelen te nemen. Bernold vertelt dat het belangrijk is om in elk geval een aantal basismaatregelen te nemen. “Denk bijvoorbeeld aan een passwordmanager, en two factor authentication voor belangrijke accounts.”

“Het kan ook goed zijn om een awarenesstraining te organiseren. Houd er wel rekening mee dat dit niet de perfecte oplossing is. Vaak blijkt dat het effect langzaam weer wegebt.” Als je een geavanceerde dienstverlening hebt, kun je bijvoorbeeld ook denken aan monitoringsservices om netwerken in de gaten te houden.

Bernold waarschuwt dat het ook niet goed is om krampachtig alles te willen dichttimmeren. “Je ziet soms organisaties die na een incident helemaal doorslaan. Ik denk dat het goed is om te accepteren dat er een gevaar is, zo word je een beetje cyberzenn.”

Risico’s cybercrime afdekken

Dit wil natuurlijk niet zeggen dat je gewoon moet afwachten. “Het is niet goed om een apathische houding te hebben”, stelt Bernold. “Je moet je er wel een beetje in verdiepen.”

In plaats van overdreven maatregelen te nemen, is het volgens Bernold slimmer om een cyberverzekering te nemen die uitkeert wanneer je onverhoopt slachtoffer wordt van een aanval. “Dat is een mooie middenweg.”

Hoe weet ik of ik genoeg maatregelen neem?

Het kan soms lastig zijn om te bepalen of je wel genoeg maatregelen neemt. Bernold raadt bedrijven daarvoor aan om het gesprek aan te gaan met soortgelijke organisaties. “Als je bij de top 20 zit, heb je al een goed idee van hoe ver je bent.”

Daarnaast kun je kijken naar de eisen van cyberverzekeringen. “Verzekeraars willen natuurlijk liever niet dat ze geld moeten uitkeren aan een bedrijf waar alle sluizen openstaan.”

Zo zorg je ervoor dat jouw security-features daadwerkelijk gebruikt worden.

In welke branche je ook actief bent, volgens Bernold is het belangrijk dat we allemaal bewust zijn van de gevaren van cybercrime. “Het internet is nog maar kort onder ons, tegen de tijd dat onze kinderen een jaar of dertig zijn, zal het bewustzijn veel verder zijn. Zij zijn in een digitale wereld opgegroeid.”

Bernold sprak onlangs op het security-webinar ‘Hebben jouw werknemers al geklikt?’. Dat webinar is hier gratis terug te kijken

Lees ook

Veelgestelde vragen over risicoanalyse cybersecurity

Hoe maak je een risicoanalyse cybersecurity?

Wanneer je aan de slag wilt met een risicoanalyse cybersecurity, is het belangrijk om een goed beeld te hebben van de risico’s die je organisatie loopt. Lees er hier alles over.

Hoe kan ik mijn bedrijf beschermen tegen cybercrime?

Benieuwd hoe je je bedrijf het beste beschermt tegen cybercrime? Dat lees je in dit artikel.