Dat was even schrikken zeker, de dreiging van een wereldwijde ransomware uitbraak. Dat zet de zaken wel weer lekker op scherp. Tot nu toe lijken we geluk te hebben in Nederland. Er is geen grote WannaCry uitbraak geweest. Komt dat doordat we het in Nederland zo goed geregeld hebben, of worden we door de cyberboefjes gewoon nog niet zo interessant gevonden?
Vlak na de WannaCry cyberaanval zag ik veel e-mails van leveranciers die pleitten voor het aanschaffen van security producten. Dat komt je vast bekend voor: “Dataveiligheid is bij bedrijven niet goed geregeld!”, was het mantra. Ik vind het nogal bedenkelijk, want zijn de veiligheidsmiddelen nou echt slecht geregeld of gebruiken veel bedrijven hun middelen niet op de juiste manier? Ik zou het prettig vinden als leveranciers hun klanten écht helpen de veiligheid te verhogen in plaats van achteraf spullen proberen te verkopen.
“Het probleem is niet slechte tools, maar het gebrekkige gebruik ervan”
Veel organisaties hebben mooie security software maar gebruiken het niet op de juiste manier. Als ik zie hoe er binnen sommige bedrijven met security patches en virus updates wordt omgegaan dan ben ik vaak verbaasd. En als ik hoor welke redenen er soms zijn om een update niet (of erg laat) te uit te rollen vind ik het niet vreemd dat veel organisaties een groot risico lopen op lekken in hun beveiliging. Het ligt vaak niet aan de spullen, maar aan het gebruik ervan. Microsoft werd niet voor niks boos op de NSA omdat zij security lekken hadden ontdekt, maar niet hadden gemeld.
Urgentie voor allen
Ik geloof dat de urgentie van goede beveiliging en daar beleid op voeren niet overschat kan worden. Er wordt nog vaak te licht gedacht over het implementeren van goede bescherming. Een cyberaanval kan het einde van je bedrijf betekenen. Om security goed te implementeren is het nodig dat je verder kijkt dan mooie producten. Kijk in de eerste plaats naar je interne processen en de manier waarop je huidige security wordt ingezet. Security is niet een ding van tooltjes: het is een resultaat van middelen, processen en het juiste gebruik ervan. Dit betreft dus je IT middelen, je IT personeel, je processen en je gebruikers. Zorg dat je duidelijke afspraken en beleid hebt over het gebruik en beheer van je IT middelen, en de gevolgen voor onjuist gebruik.
Beveiliging goed implementeren
Er is maar één cyberaanval nodig en een bedrijf kan failliet zijn. Dus de belangrijkste les is, als je security producten hebt gebruik ze dan op de juiste manier. Het is leuk om je te laten verleiden tot het aanschaffen van de nieuwste snufjes maar als de bewustwording in je organisatie niet ontwikkelt bereik je je doel nog steeds niet. En als gratis tip voor security leveranciers: er is niks mis met wat opportunisme, maar voor je klanten zorgen wanneer er geen paniek is is nog beter!
Comments are closed.