15 sep
In september bestaat ThreadStone tien jaar. Dat vieren wij natuurlijk. In de aanloop naar dat jubileum delen we de komende maanden de lessen die wij het afgelopen decennium hebben geleerd.
In een ideale wereld nemen bedrijven en ondernemers uit zichzelf maatregelen om zich te wapenen tegen internetcriminelen. Net zoals je je organisatie beschermt tegen brandgevaar en inbraak. Maar in de weerbarstige praktijk blijft er vaak eenvoudigweg te weinig tijd over om hier goed naar te kijken en ermee aan de slag te gaan. Of er is te weinig budget. Of het ontbreekt aan de juiste expertise.
Onze ervaring van de afgelopen tien jaar is: pijn is ‘fijn’. Want zodra organisaties pijn voelen (of liever nog dreigen te gaan voelen, want dan is het nog niet te laat), blijkt dat er wel degelijk kan worden geïnvesteerd in cyberveiligheid. En dan blijkt dat het ook nog eens resultaat heeft: meer grip op risico’s, beter voorbereid zijn op een mogelijk incident, en weten welke maatregelen er op welk moment nodig zijn. En dus meer rust en meer focus op de core business.
Waar die pijn uit kan bestaan?
-
Pijn door een hack. Dat is de meest vervelende vorm van pijn, want dan ben je te laat en moet je de schade beperkt zien te houden – en die kan al snel in de vele duizenden euro’s lopen, nog los van niet in geld uit te drukken imagoschade en lastig te herwinnen vertrouwen van klanten en leveranciers. Onderzoek heeft uitgewezen dat een gemiddelde hack 270.000 euro aan kosten met zich meebrengt. Natuurlijk is deze pijn niet fijn voor organisaties die daar daadwerkelijk mee te maken krijgen. Vandaar dat wij erop hameren, al tien jaar lang: voorkomen is altijd beter dan genezen!
-
Pijn door regelgeving. In onze optiek zou dit een belangrijke vorm van ‘pijn’ kunnen zijn, mits er voldoende wordt gehandhaafd. Vergelijk het met de autosnelweg: als er geen flitspalen zijn en als er geen controles worden uitgevoerd door de politie, dan zouden veel mensen (nog meer) lak hebben aan de snelheidslimieten. Ook voor informatiebeveiliging geldt dat deze vorm van ‘pijn’ alleen impact heeft als er waarschuwingen en boetes worden uitgedeeld. De AVG-is in onze optiek mislukt voor het MKB. De gedachte was dat organisaties zich wel beter zouden gaan beveiligen, maar de snelheid waarmee dit gebeurt lijkt hand in hand te lopen met de snelheid en regelmaat van de controles.
-
Pijn door ketenafhankelijkheid. Steeds meer opdrachtgevers vragen aan partners en leveranciers om hun digitale veiligheid en de maatregelen die zij daartoe nemen inzichtelijk maken. Sterker nog: voor organisaties die onder NIS2 gaan vallen is dat zelfs een verplichting. Als je als leverancier dit niet kunt aantonen, ga je zonder twijfel opdrachten en inkomsten mislopen. In onze optiek kan dit een van de belangrijkste aanjagers zijn voor een meer weerbaar MKB, zolang belangrijke en essentiële organisaties die onder NIS2 vallen hun leveranciers gaat vragen om aantoonbaar veilig te zijn. De overheid kan hierin een enorm belangrijke taak vervullen door bij aanbestedingstrajecten aan leveranciers te vragen om een bepaalde mate van informatiebeveiliging aantoonbaar geregeld te hebben.