Wanneer we over Cybersecurity praten binnen bijvoorbeeld het Microsoft 365 platform dan zijn er een aantal misverstanden. Als bestuurslid moet je bijvoorbeeld voldoende verstand hebben van Cybersecurity om onder andere een vloeiend gesprek te kunnen voeren met je (interne)experts.
Wat is CyberSecurity?
Cybersecurity is het beveiligen van apparaten, diensten en netwerken en de data daarop tegen bijvoorbeeld diefstal of beschadiging. Een mooi voorbeeld hiervan is Ransomware, bijvoorbeeld de cyberaanval op Mediamarkt afgelopen november 2021. Als bedrijf is het van belang dat dit soort aanvallen zoveel mogelijk worden vermeden of worden gemitigeerd. Hieronder staan een drietal mythes of onjuistheden wanneer het gaat over Cybersecurity
Wat moet ik weten over cyberbeveiliging?
Er zijn drie veelvoorkomende mythes over cybersecurity. Als je begrijpt waarom ze onjuist zijn, wordt het een stuk interessanter en makkelijker om goed op de hoogte te blijven.
Mythe #1: Cybersecurity is complex, ik zal het niet begrijpen.
Realiteit: u hoeft geen technisch expert te zijn om een weloverwogen beslissing over cybersecurity te nemen.
We nemen allemaal elke dag beveiligingsbeslissingen (bijvoorbeeld om het alarm van het kantoor af te zetten) zonder per se te weten hoe het alarm werkt. Bestuurders nemen regelmatig financiële of risicovolle beslissingen zonder de details van elke factuur of rekening te kennen. Het bestuur moet eigenlijk vertrouwen op zijn cyber experts om inzicht te geven, zodat de Raad een weloverwogen beslissingen kan nemen over cybersecurity binnen hun onderneming.
Mythe #2: Cyberaanvallen zijn geavanceerd, ik kan niets doen om ze te stoppen.
Realiteit: Het aanpakken van cyber risico's en het doorvoeren van relatief kleine veranderingen kan het risico voor uw organisatie sterk verkleinen.
De overgrote meerderheid van de aanvallen is nog steeds gebaseerd op bekende technieken (zoals phishing) waartegen vrij eenvoudig verdedigd kan worden met bijvoorbeeld Microsoft 365 Defender for Office 365. Sommige bedreigingen kunnen zeer geavanceerd zijn, waarbij geavanceerde methoden worden gebruikt om in extreem goed verdedigde netwerken in te breken, maar dat niveau van inzet en expertise zien we normaal gesproken alleen bij aanvallen door de bekende groepen of landen. Het is onwaarschijnlijk dat de normale organisatie een doelwit is van dit kaliber aanval. Echter zullen zelfs de meest geavanceerde aanvallers met de eenvoudigste en goedkoopste opties beginnen, dit doen ze om niet direct hun geavanceerde methoden bloot te leggen.
Mythe #3: Cyberaanvallen zijn gericht, ik loop geen risico.
Realiteit: Veel cyberaanvallen zijn opportunistisch en elke organisatie kan worden getroffen door dit soort aanvallen.
Het merendeel van de cyberaanvallen is ongericht en opportunistisch van aard, waarbij de aanvaller hoopt te profiteren van een zwakte (of kwetsbaarheid) in een systeem, ongeacht van wie dat systeem is. Dit soort aanvallen kunnen net zo schadelijk zijn als gerichte aanvallen (neem als voorbeeld de impact van WannaCry op wereldwijde organisaties). De regel is heel simpel ben je verbonden met het internet dan loop je risico. Ook is het onwaarschijnlijk dat deze trend van ongerichte aanvallen zal veranderen, omdat elke organisatie (inclusief die van jou) waarde heeft voor een aanvaller, zelfs als dat gewoon het geld is dat je zou kunnen betalen voor bijvoorbeeld een ransomware-aanval.
Conculsie
Zo complex is Cybersecurity niet wanneer je de juiste mensen hebt of zaken doet met de juiste partners. De basis is voldoende om te kunnen vertrouwen op de experts waardoor je een goede afweging kan maken wanneer dat nodig is.
