De interconnectiviteit is exponentieel gegroeid. Er zijn maar weinig bedrijven en organisaties die niet afhankelijk zijn van connectiviteit en digitale technologieën. Particulieren en organisaties voeren routinematig miljarden euro’s aan transacties uit en je kunt je bijna geen modern leven zonder internet meer voorstellen.
En juist dat maakt iedereen een belangrijk doelwit voor criminele activiteiten door opportunisten en georganiseerde misdaadsyndicaten. Persoonlijke informatie die is opgeslagen in databases geeft toegang tot creditcardgegevens, financiële middelen en intellectuele eigendom. Criminelen lopen geen enkel fysiek risico bij het stelen van deze informatie en met ransomwareaanvallen kunnen hoge bedragen aan losgeld worden binnengehaald bij slachtoffers die wanhopig de controle over hun netwerken willen terugkrijgen.
Tegelijkertijd worden bedrijven en organisaties niet meer alleen beoordeeld op de kwaliteit van hun producten en diensten, zoals vroeger het geval was. Ze worden geëvalueerd op basis van criteria die uiteenlopen van veiligheid, gelijkheid en diversiteit, milieu en duurzaamheid tot informatiebeveiliging. Onder meer de bovenstaande criteria worden gehanteerd voor de ESG-beoordeling van beursgenoteerde bedrijven.
Tegenwoordig moeten organisaties – om aantrekkelijk te zijn en als succesvol te worden beschouwd – blijk geven van hun inzet voor al deze aspecten en de governance ervan. Vroeger was informatiebeveiliging alleen iets voor ICT-organisaties. Nu dat iedereen gevaar loopt en bewijs van goed bestuur steeds meer een vereiste wordt, staat dit onderwerp natuurlijk hoger op de agenda’s van organisaties en hun bestuurders.
Niemand is gevrijwaard tegen aanvallen
Consumenten die ingaan op nepaanbiedingen in e-mails en sociale media worden voor kleine bedragen opgelicht. Overheden, onderwijsinstellingen, gezondheidsinstanties en netbeheerders worden gechanteerd en moeten enorme sommen geld betalen om te voorkomen dat essentiële systemen worden platgelegd. Van commerciële organisaties worden waardevolle bedrijfsmiddelen gestolen. En ook dienstverleners op het gebied van ICT en communicatie staan hoog op de lijst van doelwitten, omdat ze toegankelijk zijn voor organisaties die gebruikmaken van hun diensten.
De aanvallen zijn niet langer beperkt tot individuele hackers die een kick krijgen van het infiltreren van netwerken. Het karakter van de aanvallen is verschoven naar kwaadaardige verstoringen en naar criminele activiteiten om grote sommen geld te bemachtigen. Bijvoorbeeld door het consequent afromen van grote bedragen of door het gericht afpersen van een organisatie.
Nu dat er zoveel op het spel staat, moeten alle organisaties hun risico’s inschatten en beoordelen voor welke soorten bedreigingen en aanvallen ze kwetsbaar zijn. Bij die beoordeling moeten organisaties ook onderzoeken of ze zijn blootgesteld aan aanvallen door hun klanten of leveranciers. Verder moeten ze nagaan hoe een aanval op hun eigen systemen hun waardeketen kan beïnvloeden.
De eenvoudige virussen en hacks van weleer bestaan nog steeds maar zijn niet langer onze grootste zorg. Organisaties zijn tegenwoordig verwikkeld in een race met cybercrime, maar lopen onvermijdelijk altijd een stap achter. Terwijl zij zich tegen de vorige dreiging proberen te beschermen, werken criminelen al aan de volgende fase.
Werken aan een veerkrachtige organisatie en vertrouwen bij stakeholders
Iedere dreiging die wordt afgewend, kan een belangrijke les zijn en worden gebruikt voor een betere voorbereiding op en verdediging tegen aanvallen. Informatiebeveiligingsmanagement gaat echter over meer dan het beperken van kortetermijnrisico’s. Het gaat ook om het opbouwen van veerkracht op lange termijn. Het opzetten van een robuust raamwerk voor het identificeren, managen en beperken van risico’s zorgt voor voortdurende verbetering, gestructureerde governance en meer bedrijfscontinuïteit.
Een managementsysteem voor informatiebeveiliging (ISMS) dat voldoet aan internationale best practices, zoals ISO/IEC 27001, is daarvoor zeer geëigend. Een ISMS helpt organisaties inzicht te krijgen in het feitelijke risicobeeld, middelen in te zetten om beveiligingsinbreuken te voorkomen en processen in te stellen om eventuele incidenten af te handelen. Bovendien biedt het een gestructureerd raamwerk om processen en beheersmaatregelen voor informatiebeveiliging te ontwikkelen en te implementeren, bijvoorbeeld om managementbetrokkenheid en adequate training van medewerkers te waarborgen.
De ontwikkeling van het ISMS van een organisatie is het werk van een klein team, maar het is een voorwaarde dat alle medewerkers bij de implementatie betrokken zijn. De meeste aanvallen worden geïnitieerd door een onzorgvuldige actie van een personeelslid – op een link in een phishingmail klikken, een geïnfecteerde USB-stick gebruiken, een zwak wachtwoord instellen of het wachtwoord met een vreemde delen. Dat gebeurt zelden opzettelijk, maar het kan funest zijn. Met de juiste training kan dit worden vermeden, maar dit vereist wel dat organisaties ervoor zorgen dat alle medewerkers de training volgen en betrokken blijven.
Organisaties kunnen een managementsysteem voor informatiebeveiliging ontwikkelen volgens hun eigen normen of de ISO/IEC 27001-norm. En ze kunnen de naleving verifiëren door middel van eigen audits of second-party audits. Maar ze hebben daarmee geen mogelijkheid om onafhankelijk aan klanten en andere stakeholders aan te tonen dat het systeem is ingevoerd en effectief functioneert.
Certificering volgens ISO/IEC 27001 levert onafhankelijk bewijs dat uw managementsysteem voor informatiebeveiliging aan de eisen van de norm voldoet. Het zorgt intern voor vertrouwen en u kunt klanten, leveranciers en andere stakeholders vol vertrouwen vertellen dat uw ISMS is beoordeeld en in orde is bevonden door een onafhankelijke certificatie-instelling. Certificering vereist ook jaarlijkse audits van het managementsysteem. Door te bewijzen dat het geschikt blijft voor het beoogde doel, verleent u de organisatie veerkracht en creëert u vertrouwen bij stakeholders.