Waarom klanten en partners steeds meer belang hechten aan jouw cyberbeveiligingsaanpak
Door Kavitha Mariappan, EVP, Customer Experience and Transformation bij Zscaler
Net zoals het bewustzijn van koolstofemissies en klimaatverandering mainstream is geworden, is ook cyberbeveiliging tot bovenaan de ESG-agenda gestegen. Het wordt daarnaast steeds vaker opgenomen in de manier waarop bedrijven worden beoordeeld als zakenpartners, leveranciers en potentiële acquisities.
Cyberbeveiligingsrisico’s kunnen net zo schadelijk zijn voor de reputatie van een bedrijf als ESG-risico’s. En mede door wetgeving, zoals de NIS2, wordt het steeds belangrijker om te kunnen aantonen hoe jouw organisatie presteert op het gebied van beveiliging. Als gevolg hiervan wordt cyberbeveiliging vaker opgenomen in ESG-evaluaties. Robuuste en goed gedocumenteerde maatregelen kunnen wijzen op een sterk risicobeheer. Bovendien kan het versterken van de cyberbeveiliging ESG-vooruitgang aantonen.
De gevolgen van cyberbeveiliging reiken verder dan de eigen activiteiten
Net zoals geopolitieke, macro-economische, milieu- en governancerisico’s het succes van bedrijven bedreigen, kunnen cyberincidenten resulteren in aanzienlijk financieel verlies, reputatieschade, verlies van klantvertrouwen, diefstal van intellectueel eigendom en meer. In de huidige digitale wereld kunnen beveiligingsincidenten en gegevensverlies niet alleen gevolgen hebben voor de eigen organisatie, maar ook voor partners en klanten. Doordat alles in de supply chain tegenwoordig verbonden is, kunnen cybercriminelen makkelijker door dit netwerk bewegen, en zo ook schade veroorzaken aan andere organisaties in de keten.
De kwetsbaarheden van bedrijven kunnen ook worden ingezet om hun klanten en partners in gevaar te brengen. Denk bijvoorbeeld aan de SolarWinds-hack. Een Russische hackgroep kon zichzelf in een software-update invoegen en onopgemerkt blijven terwijl ze duizenden klanten van de leverancier in de gaten hielden. Dit soort aanvallen vormen een aanzienlijke dreiging omdat ze misbruik maken van kwetsbaarheden van derden die buiten de directe controle van een organisatie vallen.
Net zoals bedrijven hun milieu- en sociale eisen doorgeven aan hun leveranciers en partners, kunnen we soortgelijke verzoeken verwachten ten opzichte van cyberbeveiliging. Het aantonen van sterke beveiligingsmaatregelen, waaronder de expliciete openbaarmaking van beveiligingscontroles om gegevens van partners te beschermen, zal de norm worden. Tegelijkertijd zullen bedrijven die cyberbeveiliging niet serieus nemen minder snel toegelaten worden in de supply chain.
Waarom bedrijven aandringen op zero trust
Uit onderzoek blijkt dat 90% van de organisaties zich zorgen maakt dat netwerktoegang aan derden onbewust als achterdeur voor aanvallers kan dienen. Hoewel je de houding ten opzichte van cyberrisico’s van andere organisaties niet altijd kunt vertrouwen, kan je de toegang die leveranciers hebben tot jouw infrastructuur wel beperken. Door de toegang van leveranciers tot informatie en systemen te controleren, kan je voorkomen dat kwaadwillenden via derden de organisatie binnendringen. Dit concept is een fundamenteel aspect van een zero trust-strategie.
Zero trust verwerpt het model van ‘impliciet vertrouwen’, ten gunste van een ‘never trust, always verify’-aanpak. Naast het verifiëren van de identiteit van de gebruiker, wordt er rekening gehouden met de informatie waartoe hij toegang probeert te krijgen. Deze toegang wordt toegestaan op basis van het least privilege-principe, waarbij alleen toegang verleend wordt tot wat echt nodig is. Deze aanpak is beter geschikt om inbreuken te voorkomen, eventuele schade te beperken, veilige toegang te bieden aan externe partners en meer.
Volgens een onderzoek van Zscaler heeft ruim 90% van de organisaties die naar de cloud migreren binnen een jaar een zero trust-beveiligingsstrategie geïmplementeerd of is daar mee bezig. De Amerikaanse overheid verplicht zijn agentschappen zelfs om tegen 2024 een zero trust-strategie te adopteren. Dit komt doordat zero trust-beveiliging de meest volwassen benadering van cyberrisicotoezicht is die momenteel beschikbaar is. In plaats van een enkele oplossing of oplossingset, is zero trust een benadering van beveiliging die zich richt op het aanpakken van de meest voorkomende stappen bij een inbraak: doeldetectie, compromittering, laterale verplaatsingen en gegevensdiefstal.
Ongeacht hun strategische doelstellingen - of ze zich nu voorbereiden op een fusie, overname of beursintroductie, zoeken naar partnerschappen of hun eigen veiligheid willen versterken - de boards van bedrijven zouden er goed aan doen om hun toezichtregimes op het gebied van cyberbeveiliging op één lijn te brengen met deze ingrijpende herziening van best practices op het gebied van cyberbeveiliging. Door dit te doen, kunnen ze de voordelen van het verbeteren van hun ESG-doelen behalen en hun cyberrisico’s beter beheren.
Ook interessant:
Lees hier: Verzekeringsadviseur You Sure bouwt expertise op gebied cybersecurity verder uit
Lees hier: Onderzoek Palo Alto Networks: Israëlische organisaties doelwit van destructieve aanvallen door dreigingsgroep Agonizing Serpens