IT binnen de KMO

Voor vele bedrijfsleiders blijft de IT-omgeving vaak een ‘black box’, zeker binnen KMO-omgevingen. IT moet de bedrijfsactiviteiten en de gewenste manier van werken mogelijk maken en ondersteunen: mails moeten vertrekken en binnen komen, het boekhoudprogramma, klantdata, ERP en CRM-programma’s moeten beschikbaar en op elk moment consulteerbaar zijn. Wifi moet in elke bureau en vergaderzaal werken en de gevoelige bestanden enkel toegankelijk voor de daartoe gemachtigde personen. Zolang alles werkt, is het goed. Werkt het niet, dan volgt vaak gevloek.

“Zolang alles werkt, is het goed. Werkt het niet, dan volgt vaak gevloek.”

Helaas kunnen we er niet omheen dat net deze IT-omgeving steeds gecompliceerder wordt: meer geconnecteerde toestellen, toenemende complexiteit in oplossingen, productie-omgevingen maken grote sprongen in automatisatie en informatieverwerking. Natuurlijk investeren bedrijven niet zomaar in meer en/of nieuwe tools, het zorgt – ondanks de toegenomen complexiteit – voor een positieve impact in besluitvorming en meer efficiëntie in het bedrijf.
Er is echter een welgekende keerzijde van de medaille: wie kent geen bedrijf waar werknemers vertrekken met een klantenlijst of (gevoelige) bedrijfsinformatie; of waar men recentelijk met cybercriminaliteit van buiten te maken kreeg?

Ondanks een inmiddels grote en steeds groeiende mate van impact, lijkt het voor bedrijfsleiders moeilijk te sturen op IT-omgevingen. Zij kennen de bedrijfsnoden, maar daarvoor niet steeds de praktische implicaties en de al even belangrijke bedrijfsrisico’s die met groeiende IT-infrastructuren samengaan.
Dit betekent dat men bij investeringsbeslissingen rond productie-automatisatie of IT-investeringen vaak onvolledige en/of rudimentaire business cases gemaakt worden. Men denkt vaak vanuit een “wat doet het en wat kost het”-perspectief. Bij dit soort investeringen, zoals de aankoop van een geautomatiseerde machine, een beweging van lokale servers naar cloudservers – “want daar staat het veilig” – of mensen van thuis uit toegang te verschaffen op bedrijfsnetwerken, vergeet men dikwijls dat er impliciet akkoord wordt gegaan met een belangrijke risicofactor van steeds meer toenemende en bedrijfsverlammende cyberaanvallen

3 cruciale vragen rond cybersecurity die bedrijfsleiders van productie-KMO’s zich moeten stellen 

Toch kunnen bedrijfsleiders enige sturing krijgen op deze impliciete risico’s en verdoken kosten door volgende vragen te overlopen met hun IT-verantwoordelijke:

1. Hoe ziet onze veiligheidspositie en blootstellingsniveau eruit?

De vraag “zijn we 100% beveiligd?” is de grootste dooddoener voor elke verantwoordelijke voor cyberbeveiliging. Het antwoord dient steeds “nee” te zijn. 100% beveiligd zijn bestaat gewoonweg niet en hier blindelings naar streven is simpelweg een verspilling van tijd en geld. Een IT-partner/verantwoordelijke dient daarentegen wel in staat te zijn de risico’s in kaart te brengen voor uw organisatie, en prioriteiten te stellen volgens hoe cruciaal dit is ten opzichte van de bedrijfsactiviteiten

Vergeet hierbij zeker niet dat ook de productie-omgeving softwarecomponenten heeft!
Beeld u hierbij in dat met productie-software gesjoemeld wordt en zodanig het machinepark niet beschikbaar is. Staat u even stil bij de operationele, financiële en reputatie impact op uw organisatie? Cybercriminelen weten dit ook en vragen daarom serieuze sommen losgeld om de door hen geëncrypteerde of versleutelde gegevens en machines opnieuw vrij te geven. De vraag is dan tot welk bedrag u zou gaan om dit zo snel mogelijk opgelost te krijgen en terug operationeel te zijn?

Met de exponentiële groei van cybercriminaliteit en het uiterst snel veranderend karakter van nieuwe cybertechnieken staat het vast deze vraag over de veiligheidspositie en blootstellingsniveau van jouw organisatie best niet eenmalig of slechts jaarlijks gesteld kan worden, maar dient consequent opgevolgd te worden. 

2. Zijn er incidenten geweest? En indien ja, waren die significant?

Zowel gemanifesteerde of verhinderde incidenten zijn van belang. Begrijpen vanuit welke hoek de risico’s komen is directe voeding in de besluitvorming van waarop maatregelen genomen moeten worden. Zo is het bijvoorbeeld verstandig om werknemers bewust te maken van phishing mails – nog steeds de meest courante methodiek om op onrechtmatige wijze toegang tot een bedrijfsnetwerk te krijgen – met de raad er niet op te klikken. Als uw organisatie hier regelmatig mee te maken heeft, is het slechts een kwestie van tijd tot iemand toch iets ongeoorloofd aanklikt.

Bovendien kunnen potentiële incidenten bij productiesystemen en de softwarecomponenten van machines veelal niet door IT-beveiligingssystemen gedetecteerd worden. Doe je dit toch, dan wordt al snel een vals gevoel van veiligheid gecreëerd.

3. Zijn we conform?

Conform met wat? Wel, voor verschillende bedrijfsgroottes, -sectoren en -situaties bestaan geijkte en getoetste frameworks die als leidraad kunnen dienen. Dit zijn ‘best practices’ waar met de nodige kennis ter zake en interpretatie naar gekeken dient te worden. Conformiteit met een op maat gekozen en aan uw bedrijfsnoden aangepast framework biedt structuur om de veiligheidspositie en het blootstellingsniveau van een organisatie te bepalen. Vaak wordt het conformiteitsgesprek dus volledig opgenomen in de discussie rond blootstellingsniveau. Tenzij men natuurlijk – vaak wegens commerciële overwegingen – aan leveranciers en klanten duidelijk wil maken dat beveiliging serieus genomen wordt. Niet gek als je beseft dat vele “cyberinfecties” door de leveranciersketen doorgegeven worden. Voornamelijk grote klanten stellen daarom steeds meer de eis van een soort beveiligingscertificaat aan hun leveranciers (zoals bijvoorbeeld ISO27001).

Andere prioriteiten bij IT en Productie   

Hierbij houden bedrijfsleiders best in het achterhoofd dat de prioriteiten bij een IT-omgeving anders liggen dan bij een Productie-omgeving, ook wel Operationele Technologieën (OT) genoemd.

Bij een IT-omgeving ligt de nadruk in eerste instantie op confidentialiteit van data: ‘niemand dient deze data te bekomen die er geen zaken mee heeft; en integriteit: ‘niets of niemand dient deze data te veranderen die er geen machtiging toe moet hebben’. Pas daarna dient beschikbaarheid van data aan de orde te komen: ‘waar, wanneer, hoe,… medewerkers bedrijfsdata consulteren’ is altijd ondergeschikt aan wie er aan kan, gaande van bepaalde medewerkers tot buitenstaanders tot criminelen .

In een productieomgeving primeert de fysieke veiligheid van medewerkers natuurlijk altijd! Ter uitbreiding hiervan kunnen we ook stellen dat dit ook de beveiliging van computergestuurde machines omhelst die werknemers potentieel schade kunnen berokkenen bij het uitvoeren van een niet-beoogde activiteit, vb. een productieband die dubbel zo snel gaat dan normaal. Pas daarna komt continue beschikbaarheid als prioriteit. De integriteit of beperkingen wie wijzigingen aan kan brengen aan de data blijft hieraan ondergeschikt.

Hiermee is duidelijk dat de IT-verantwoordelijken en productie-verantwoordelijken binnen éénzelfde bedrijf er een verschillende visie en prioriteiten op kunnen nahouden. Bij een degelijke cyberbeveiliging worden deze verschillen inzake prioriteit samengebracht in het groter geheel, eerder dan ze tegen elkaar af te zetten.

Wat nu?

De uitdagingen binnen cyberbeveiliging zijn enorm, helaas gevoed door een steeds toenemende activiteit en geavanceerdheid van cybercriminaliteit. Gezien de bedrijfsimpact, kan dit door bedrijfsleiding niet genegeerd worden. Soteria specialiseert zich in het aantonen van blootstellingsniveaus van productiebedrijven, de vertaalslag naar zaakvoerders en directie, en in implementatie van degelijke bescherming volgens het risicoprofiel van het bedrijf.

Wellicht ook interessant voor u

No Results Found

The page you requested could not be found. Try refining your search, or use the navigation above to locate the post.

Van basisbescherming tot volledige ontzorging

Op maat van jouw bedrijfsrisico's

Betere beveiliging vanaf dag 1

Secured By miniOrange