Wist u dat een printer of verouderd apparaat dat op uw netwerk is aangesloten, een toegang tot uw systemen kan zijn voor cybercriminelen? Naarmate steeds meer apparaten met internet zijn verbonden, neemt ook de kans op een digitale aanval toe. We spraken hierover met Espen Johansen, Manager Operations en Security van Visma.
Zowel het type aanval, de complexiteit als de omvang van de aanvallen veranderen en nemen voortdurend toe, en de gevolgen kunnen enorm zijn. Voorwaarde voor succes met digitalisering is dan ook dat veiligheid en privacy vanaf het begin gewaarborgd zijn. Helaas is dat tegenwoordig voor veel bedrijven niet het geval.
– Hoewel technologie een positieve bijdrage levert aan bedrijven, zowel door efficiëntie als door kostenbesparingen, vereist het ook een herstructurering van de manier van werken. In deze context denk ik dat veel bedrijven het belangrijkste element vergeten: het beveiligingsaspect.
Alle medewerkers moeten basiscompetenties hebben
Hoewel het bewustzijn van bedrijven over IT-gerelateerde kwetsbaarheden toeneemt, loopt de implementatie van maatregelen daartegen niet mee met het tempo van opkomende cyberdreigingen. Vaak komt dit door een gebrek aan kennis binnen de managementgroep.
‘Veel managers missen de kennis en expertise die nodig is om gevaren online te analyseren’
Welke acties kunt u ondernemen om te voorkomen dat gevoelige informatie in verkeerde handen terechtkomt, leidt tot financieel verlies of negatieve media-aandacht en bange klanten?
– Veel managers missen zowel de kennis als de expertise die nodig is om gevaren online te analyseren. Ze weten dus niet welke risico’s ze namens het bedrijf nemen. Hierdoor bestaat het gevaar dat ze onjuiste prioriteiten stellen en dat gevoelige gegevens gaan rondzwerven.
Het management zou er minimaal voor moeten zorgen dat alle werknemers over elementaire IT-beveiligingsexpertise beschikken. Niet iedereen hoeft alles te begrijpen, maar iedereen moet wel de basis begrijpen, zoals goede wachtwoordroutines.
Kies een leverancier die beveiliging serieus neemt
De meeste bedrijven werken tegenwoordig, al dan niet gedeeltelijk, met cloudservices, en dit gebruik zal alleen maar toenemen. Het kiezen van de juiste cloudservice-provider is cruciaal, zegt Johansen. Volgens hem zijn velen van mening dat de locatie van de gegevens van het bedrijf cruciaal is, maar in werkelijkheid zijn de veiligheidsprocedure en professionaliteit rond de verwerking van gegevens en de infrastructuur van het bedrijf het belangrijkst. Door de juiste leverancier te kiezen, minimaliseert u het beveiligingsrisico.
– Kies altijd een provider die IT-beveiliging serieus neemt. U moet erop kunnen vertrouwen dat uw leverancier er alles aan doet om u te beschermen en u ook altijd op de hoogte stelt als er iets misgaat. Bij Visma geven we onze klanten de zekerheid dat we open zijn over hoe we met IT-beveiliging werken en hebben we het Visma Trust Centre, dat een overzicht geeft van hoe Visma gegevens en informatie opslaat en beschermt.
Visma nodigt computerhackers uit om beveiligingslekken te vinden
Visma loopt al meer dan vijftien jaar voorop in het ontwikkelen van cloudgebaseerde bedrijfsoplossingen. We hebben daardoor goed inzicht in hoe kwaadwillende spelers opereren.
‘Hackers met goede bedoelingen zijn experts op het gebied van IT en data’
– Er is een onderscheid tussen hackers met slechte bedoelingen en hackers met goede bedoelingen. Deze laatsten zijn experts op het gebied van IT en data en hebben een zeer unieke competentie waar bedrijven wereldwijd van afhankelijk zijn. Gelukkig hebben we enkele van de besten uit die laatste categorie in dienst bij Visma, vertelt Johansen.
Net als veel grote bedrijven over de hele wereld, zoals Google en Amazon, heeft Visma zich opengesteld voor getalenteerde hackers over de hele wereld om de systemen en software van Visma uit te dagen door te zoeken naar zwakke plekken.
Wanneer hackers de kwetsbaarheid detecteren, moeten ze dit melden via het Bug Bounty-programma van Visma. Hackers die geen deel uitmaken van het Bug Bounty-programma van Visma, kunnen hun bevindingen rapporteren via Responsible Disclosure. Op deze manier kunnen ze pronken met hun vaardigheden, zet Visma zich in om de zwakke plekken die ze ontdekken op te lossen en krijgen ze welverdiende eer en lof voor hun werk.
– De beste bijdragers worden gepresenteerd in onze Hall of Fame. Het is een win-winsituatie: we kunnen potentieel kwetsbare beveiligingslekken dichten en in ruil daarvoor wordt onze erkenning iets wat ze in hun hackerportfolio kunnen stoppen.
Een race tussen goede en kwade krachten
Johansen geeft leiding aan een team van experts die ongeveer tweehonderd IT-beveiligings- en risicomanagementspecialisten helpen. Elke dag behandelen ze meer dan 10.000 kwaadwillende aanvallen.
De hackers met slechte bedoelingen zijn net zo capabel als degenen met goede bedoelingen, maar missen het morele kompas. Wanneer ze een zwakke plek in een systeem detecteren, benutten ze deze kansen voor verschillende vormen van aanvallen.
– Alle bedrijven hebben zwakke plekken. Daar valt niet aan te ontkomen. Maar door prioriteit te geven aan beveiliging binnen elk onderdeel van de organisatie, kunnen we ervoor zorgen dat we controle hebben over nieuwe kwetsbaarheden in onze systemen en deze updaten. Ik ben ook van mening dat we door open te zijn en samen te werken met andere partijen beter voorbereid zijn op criminele aanvallen.
De cloud is veiliger dan het alternatief
Voor bedrijven die hopen te slagen in de toekomst, zullen cloudgebaseerde services een sleutelelement zijn om hun bedrijfsproductiviteit en concurrentievoordeel te kunnen vergroten.
Maar waarom is de cloud een veilige keuze?
– Als individuen beschouwen we het als een vanzelfsprekendheid om clouddiensten te gebruiken en professionele spelers te selecteren. Bedrijven zijn vaak sceptischer, zonder enige reden: de cloud biedt geweldige kansen om de IT-beveiliging in uw bedrijf te verbeteren. Cloudserviceproviders zijn zeer professioneel en hebben ruime ervaring. Ze hebben ook de mogelijkheid om gebruik te maken van de meest geavanceerde beschermingsmechanismen die de markt te bieden heeft. Het is veel meer dan je als bedrijf alleen aankunt, legt Johansen uit.
Johansen is van mening dat vooral kleinere bedrijven die intern niet over de middelen of gespecialiseerde expertise beschikken, hulp nodig hebben van professionele spelers.
– Het is erg ingewikkeld om een cloudservice te exploiteren die toegankelijk, veilig en stabiel moet zijn. Dit vraagt om specialistische expertise en continue opvolging. Mijn beste advies aan bedrijven is dan ook om deze taak uit te besteden aan een externe partij, besluit Johansen.
Meer weten over cybersecurity? Lees andere blogartikelen over het onderwerp of bezoek ons Trust Centre.
