Cybersecurity staat hoger dan ooit op de agenda van Belgische bedrijven, maar ondanks de inspanningen tonen de resultaten dat er nog een lange weg te gaan is. Een nieuwe studie van de Cyber Security Coalition en KPMG toont hoe bewustwording niet altijd samengaat met daadkracht.
Samen met KPMG publiceerde de Belgische Cyber Security Coalition eind vorig jaar een studie waarvoor het bijna 270 bedrijven had bevraagd. Het gaat hier om een grootschalig onderzoek naar hoe bedrijven in ons land omgaan met cybersecurity. De peiling leverde zowel hoopgevende als ontnuchterende resultaten op.
‘Het goede nieuws is dat er intussen echt wel een algemene bewustwording is’, zegt Jan De Blauwe, Voorzitter van de coalitie. ‘Bedrijven beseffen dat incidenten kunnen voorvallen en dat er wetgeving rond bestaat. Tegelijkertijd stellen we vast dat niet alle bedrijven even matuur en snel omgaan met de dreiging.’
Grote verschillen
‘Gelukkig leeft het thema, vooral nu het risico op dreigingen vergroot’, vertelt Benoit Watteyne, Partner Cybersecurity Services bij KPMG. ‘Geopolitieke verschuivingen zwengelen die aan, en digitalisering vergroot de kans op aanvallen. Daarenboven verlaagt AI de drempel om aanvallen uit te voeren en maakt het hackers efficiënter.’
De Blauwe wijst op grote verschillen tussen de respondenten. ‘Er zijn bedrijven die stevig investeren in cybersecurity. Een kwart besteedt er tien procent of meer van het IT-budget aan, wat een gezond niveau is. Anderzijds zit een grote groep daar ook ver onder. Bijna een kwart heeft zelfs helemaal geen budget voor cybersecurity, en nog eens een kwart besteedt slechts vijf procent of minder.’
‘Het verschilt ook per sector’, vult Watteyne aan. ‘Banken, verzekeraars en farmabedrijven hebben sowieso al langer strikte regels en investeren traditioneel meer. Kmo’s vormen de grootste uitdaging, al verwachten ook hun klanten en leveranciers steeds vaker inspanningen op vlak van cybersecurity.’
Cybersecurity is een grote opdracht voor één persoon, dus moet je binnen een bedrijf draagvlak creëren om het beleid in de praktijk goed om te zetten.
Benoit Watteyne, Partner Cybersecurity Services bij KPMG
Cybermoeheid
Een mogelijke verklaring volgens de studie is de zogeheten cyber fatigue. ‘We zien vermoeidheid, afkeer of zelfs een gebrek aan motivatie rond cybersecurity’, zegt Watteyne. ‘Soms zijn mensen murw geslagen door een stroom aan campagnes en acties, waardoor men minder alert wordt voor wat er echt toe doet. Daarnaast waren we vroeger misschien te naïef en dachten we dat cybersecurity een eenmalige investering zou zijn.’
De Blauwe en Watteyne benadrukken dat het cruciaal is om duidelijk af te spreken wie cybersecurity binnen de organisatie opneemt. ‘Kijk welke beslissing vaak tussen wal en schip vallen en wijs een eigenaar aan. Laat je ook niet verlammen door dashboards en assessments. Die brengen vaak zóveel kwetsbaarheden in kaart dat je door de bomen het bos niet meer ziet. Dat kan leiden tot onverschilligheid of gebrek aan prioritisering. Maak van metingen een beslismoment: bepaal welke KPI’s belangrijk en neem actie waar het risico het grootst is.’
‘Cybersecurity is een grote opdracht voor één persoon,’ zegt Watteyne, ‘dus moet je binnen een bedrijf draagvlak creëren om het beleid in de praktijk goed om te zetten. Investeer in je mensen, maar een goede training lanceren betekent niet dat iedereen die ook gaat volgen. Daarvoor heb je de steun van het management nodig. Een aanmoediging van de CEO kan een positief signaal zijn voor heel het team.’
Mik hoog, begin klein, maak snelheid. Cybersecurity is niet louter een IT-probleem, maar een strategisch risico.
Jan De Blauwe, Voorzitter Cyber Security Coalition
Momentum creëren
‘Je moet cybersecurity zien als hefboom’, zegt Watteyne. ‘Leg collega’s uit hoe het behalen van bepaalde certificaten ervoor kan zorgen dat je meer business binnenhaalt. Als een rapport tientallen aanbevelingen doet, kies dan voor kleinere concrete stappen in plaats van alle risico’s in één keer te willen dekken. Zo’n quick wins geven je momentum om aan te tonen dat er vooruitgang is.’
De Blauwe sluit zich daarbij aan. ‘Mik hoog, begin klein, maak snelheid. Cybersecurity is niet louter een IT-probleem, maar een strategisch risico. Duid daarom ook buiten IT een ambassadeur aan die het verhaal binnen de organisatie uitdraagt. En zoek samenwerking met anderen. Met de Coalition willen we ook onderling kennis delen tussen cybersecurity-experten in verschillende bedrijven, om zo van elkaar te leren.’
Waar staat uw bedrijf? Lees het volledige rapport en ontdek welke kleine stappen vandaag al het verschil kunnen maken voor uw cyberweerbaarheid.