Op 7 februari stelde de Europese Commissie een nieuwe richtlijn voor inzake cyberbeveiliging. Het wil een Computer Emergency Response Team per lidstaat en een gezamenlijke instelling die cybermisdaad slimmer moet bestrijden. Het voorstel legt bedrijven ook op om overheden in te lichten bij datalekken of significante beveiligingsincidenten. Tot nu toe was dit beperkt tot bepaalde sectoren en varieerde de verplichting van land tot land.
Men kan het belang van dit voorstel niet genoeg benadrukken. Organisaties hebben nog al te vaak iets van ‘dat overkomt mij niet’. Of de IT-directeur wil wel er iets aan doen, maar krijgt het budget voor beveiliging niet verkocht bij zijn directie. Alleen al een security upgrade uitstellen, is om problemen vragen. De cyberwereld is onveilig, punt. De Botnets hebben na amper een kwartier een nagelnieuwe, onbeveiligde pc geïnfecteerd. Toch wordt IT security nog steeds als een kost beschouwd.
Voor Symantec is de EU-richtlijn meer dan een stap in de goede richting. Ze moet nog geratificeerd worden door de lidstaten en door het Europees Parlement, maar deze handschoen pak je als CIO best meteen op. Het volstaat niet om gauwgauw een op handtekeningen gebaseerd antivirusprogramma te installeren. Het gaat om de intensieve doorlichting van processen en architecturen, mobiele beveiliging, compliance, cloudbeveiliging, dataverlies, enzovoort.
Verbeter je beveiliging in drie stappen
1. Doe een volledige security en risk scan
End point protection is het strikte minimum, de rest wordt bepaald door de business van uw organisatie. Je moet de business en de IT op elkaar kunnen afstemmen. De business vat de risico’s niet en trekt de nodige budgetten dus niet uit, de IT-technici beseffen doorgaans de impact van de risico’s voor de business niet of maken de hele opdracht te ingewikkeld.
Een Europees bedrijf lanceerde onlangs zijn nieuwe, innovatieve landbouwmachine op een internationale beurs. Helaas, drie standen verder stond een concurrent te pronken met exact hetzelfde werktuig. Zonder data loss prevention kunnen je plannen lekken. Je competitief voordeel verdampt en je investering in onderzoek en ontwikkeling is voor niets geweest. Als je geen accurate en bijgewerkte bescherming in huis hebt, kun je je blootstellen aan langdurige cyberspionage.
Haal daarom een security consultant aan boord die een volledige risk assessment scan doet en je adviseert over de noodzakelijke beveiligingsstrategie.
2. Houd je verdedigingsmechanisme up-to-date
Een paar weken geleden gooide het dochterbedrijf van een grote verzekeraar de gegevens van zijn klanten te grabbel. Een van de servers was te zwak beveiligd. In ruil voor de gegevens vroegen de hackers de betaling van een flinke som. Het kostte de verzekeraar veel geld, maar de imagoschade kan erger zijn.
Het is de taak van bedrijven als Symantec om cybercriminelen voor te zijn en reputation-based technologie te bouwen tegen slimme en gesofistikeerde aanvallen. Werk dus continu je beveiligingssystemen bij en schakel zeker geen standaardfuncties uit. Je beveiligt je voordeur niet om vervolgens de achterdeur open te laten.
3. Voorzie permanente opleiding voor computergebruikers
Je gebruikers zijn mogelijk de zwakste schakel bij interne bedreigingen. Sensibiliseren is de opdracht, want je kunt niet alles dichttimmeren. Hoe kunnen ze zichzelf en hun bedrijf beschermen tegen digitale schade? Leer hen meer over wachtwoordenbeheer, fysieke computerbeveiliging, de gevaren van social engineering en digitaal vertrouwen. Als het te mooi lijkt voor woorden, is het dat meestal niet. Beveiligingswaarschuwingen willen je niet vervelen of storen. Meer aandacht voor beveiliging is zeker een stap in de goede richting.
Cyber security challenge op komst
Organisaties strijden doorlopend tegen interne en externe cyberaanvallen. Symantec is van mening dat burgers, bedrijven en overheidsorganisaties dankzij de nieuwe EU-richtlijn meer aandacht zullen hebben voor cyberbeveiliging. De richtlijn zal CIO’s en CSO’s helpen om hun vraag naar een hogere beveiligingsgraad te concretiseren en om van informatiebeveiliging een wettelijke en zakelijke vereiste te maken. Dit gebeurt heus niet alleen in films. Symantec organiseert daarom op 20 maart een cyberreadiness challenge ter gelegenheid van Infosecurity. Securityspecialisten krijgen 20 rondes waarbij ze moeten proberen om gesimuleerde IT-beveiligingsproblemen op te lossen.
Meer informatie en inschrijven via deze link.