Paul Smit, CTO en Co-Founder bij ForeNova, las op 14 juli het State of Cybersecurity Resilience rapport van Accenture dat schetst dat het afstemmen van cybersecurity op bedrijfsdoelstellingen de omzetgroei helpt.
Het onderzoek is gedaan met organisaties met 1 miljard omzet of meer. Logisch voor Accenture, maar het is natuurlijk maar een beperkt deel van de markt. Net zoals op dit moment het merendeel van de security-oplossingen op de markt geschikt is voor grote organisaties, is voor middelgrote en kleinere bedrijven een vertaling noodzakelijk. Graag kijk ik, vanuit hetzelfde oogpunt waarmee we als ForeNova cybersecurity binnen het bereik van middelgrote organisaties brengen, naar hoe de aanbevelingen vanuit dit onderzoek voor grote bedrijven door het mkb toegepast kunnen worden.
Cyber Transformers
Accenture stelt dat organisaties cybersecurity stevig moeten integreren in hun digitale transformatie-inspanningen om veerkracht in deze dynamische tijden te waarborgen. Men noemt organisaties die dit doen Cyber Transformers. Deze Cyber Transformers zijn beter in staat om klanttevredenheid te verbeteren en de kosten van cybersecurity-incidenten te verlagen met gemiddeld 26 procent. Dat wil elk bedrijf natuurlijk wel. Maar voor veel mkb-bedrijven is het niet zo eenvoudig om zich tot Cyber Transformer te ontwikkelen.
De laatste, verder niet uitgewerkte aanbeveling uit het artikel – stel een verantwoordelijke aan voor cybersecurity – is namelijk vaak de bottleneck voor allerlei cybersecurity-initiatieven binnen middelgrote en kleine organisaties. Er is meestal geen budget of capaciteit voor het aannemen van een in-house IT’er om zich erop te focussen. Uitbesteding is dan de snelste weg om cybersecurity-programma’s aan te pakken.
Kennis inhuren door mkb
Voor kleine bedrijven zal het inschakelen van een ms(s)p de meest voor de hand liggende optie zijn. Maar het is toch nog wel van belang om iemand in huis te hebben om beveiligingschecks te doen. En om actie te kunnen ondernemen wanneer nodig. Een budgetvriendelijke optie hiervoor is bijvoorbeeld het inhuren van IT-securitykennis voor een paar uur per maand. Mooie initiatieven zoals die van Cybermeister maken het mogelijk om gemakkelijk betrouwbare expertise te vinden.
Cybersecurity as a service
Accenture omschrijft Cyber Transformers met een viertal kenmerken. Laten we per aanbeveling kijken hoe een dergelijke aanpak in een mkb-organisatie overeind blijft.
Ten eerste zijn Cyber Transformers volgens Accenture organisaties die cybersecurity met risicobeheer integreren. Voor een mkb-bedrijf is risicobeheer niet echt dagelijkse kost. Laat staan het integreren met cybersecurity. Ook hiervoor zul je dus als mkb tijdelijk kennis moeten inhuren. Los van mensen en kennis zie ik steeds meer het inhuren van cybersecurity services als standaard voor mkb-bedrijven.
Ten tweede zetten Cyber Transformers Cybersecurity as a Service (CSaaS) in om de beveiliging te verbeteren. Waar CSaaS hier voor grote bedrijven al een aanbeveling is, is het voor bedrijven die niet de capaciteit hebben om in-house securityoplossingen en -specialisten binnen te halen eigenlijk de enige haalbare en betaalbare route.
Cybersecurity checks
Accenture benoemt als derde het nemen van maatregelen om hun ecosysteem of supply chain-partners te beveiligen. Als voorbeeld wordt er geopperd om cybersecurity-checks in te bouwen voordat nieuwe diensten of producten worden gelanceerd. Indringers komen vaak bij grotere bedrijven binnen via hun kleinere mkb supply chain partners met minder uitgebreide beveiliging. Het is dus inderdaad cruciaal om op de hoogte te zijn van de veiligheid van jouw supply chain partners.
Het standaardiseren van cybersecurity-checks voor het integreren van nieuwe diensten of producten is dan ook een goede stap om de veiligheid van jouw bedrijf te waarborgen. Zo geef je ook direct een goed voorbeeld voor de beveiliging van jouw supply chain partners.
Automatisering belangrijk voor mkb
Tot slot beschouwen Cyber Transformers automatisering als een belangrijk onderdeel van de cybersecurity-programma’s. Voor het mkb is dit net zo actueel. Met automatisering kun je een deel van menselijke fouten voorkomen. Denk aan betalingen waarbij het met handmatig werken nog voor zou kunnen komen dat iemand een betaling doet die niet is gewenst. Maar ook het automatiseren van updates op systemen kan voorkomen dat systemen gemist worden in de patchronden en voor langere tijd wellicht minder goed afgedekt zijn.
Als laatste aanbeveling klinkt het belang van gefaseerde integratie van cybersecuritymaatregelen. Hier zie je weer de belevingswereld van de organisaties die binnen het State of Cybersecurity Resilience-rapport zijn meegenomen. Voor mkb-bedrijven is dit minder relevant. Vaak is de structuur van het mkb-bedrijf makkelijker om dit in één keer goed te regelen. Wel van belang is het blijven herhalen en het bereiken van ‘awareness’ bij het personeel.
Inhuren van IT’ers goede basis
Conclusie: De ‘best practices’ van de Cyber Transformers snijden ook hout voor het mkb, al verwacht ik dat weinig mkb’ers het ‘Cyber Transformer worden’ bovenaan hun prioriteitenlijst zullen zetten. Het vinden van een oplossing voor hun capaciteitsprobleem staat daar meestal wel. Het inhuren van een IT’er op uurbasis en het inzetten van Cybersecurity as a Service kunnen daarbij helpen en de basis leggen voor de volgende stappen in de goede richting.
