Verizon maakte vanmorgen de dertiende editie van zijn Data Breach Investigations Report openbaar. Reden voor CloudWorks om in gesprek te gaan met Emmanuel Baeyens. Deze Belg trad vorig jaar in dienst van Verizon en klom in iets meer dan een half jaar op tot Head of CISO & Executive Advisory EMEA – APAC.
Als we het DBIR-rapport dat vandaag gepubliceerd is vergelijken met de vorige editie, zijn we er dan met zijn allen op vooruit of op achteruit gegaan? Of zijn we wat betreft de aanpak van cybersecurity op dezelfde plek blijven hangen?
“We zijn beter geworden volgens mij. Als je kijkt naar de snelheid waarmee gereageerd wordt op incidenten dan zie ik daar zeker vooruitgang in. We worden in het algemeen beter in het beheren van cybersecurity. Maar we moeten wel waakzaam blijven. Ik maak me wel zorgen over de snelheid waarmee sommige bedrijven onder invloed van COVID-19 hun digitale transformatie halsoverkop doorvoeren en mensen nu remote laten werken.”
Maar mensen vanuit huis laten werken, is toch goed voor de business continuity?
“Aan de ene kant is dat een goede ontwikkeling, het maakt een bedrijf natuurlijk veel dynamischer. Waar ik wel schrik van heb, is dat het te snel gaat. We zien dat heel veel bedrijven risico’s beginnen te nemen. Als we spreken over intellectual property, over personal data, dan vinden we die informatie nu heel vaak terug in Amazon S3 backups die gewoon openstaan. Als je de mensen niet de benodigde opties geeft om op een veilige manier te werken, dan vinden ze zelf wel oplossingen. Wanneer ze bijvoorbeeld niet de juiste tools hebben om met collega’s te communiceren, dan gaan ze zelf documenten delen met hen via WhatsApp. En dan verlies je als bedrijf de controle.”
In het verleden werd bij bedrijven soms wat lacherig gedaan over pandemieën, die moesten meegenomen worden als naar de business resilience gekeken werd, maar het werd niet als een serieuze mogelijkheid gezien. Zien jullie daar nu verandering in komen of wordt COVID-19 gezien als eenmalig incident?
“Ik zou niet zeggen dat we bedrijven tegenkomen die zich nu voorbereiden op de volgende epidemie. We zien wel dat ze zeggen: ‘Om het even wat er gebeurt, we moeten voorbereid zijn op het ergste.’ Wat er ook gebeurt, het bedrijf moet blijven functioneren. De digitale transformatie is daarin de grote accelerator. Bedrijven kijken naar de operational risk om te bepalen wat er morgen kan gebeuren dat ervoor zorgt dat het bedrijf stopt met functioneren. En dan zien we dat security awareness nog altijd een groot probleem is. We zien bijvoorbeeld dat mensen nog altijd niet genoeg getraind zijn om met phishing om te gaan, dat ze niet alert genoeg zijn op social engineering. En menselijke fouten zijn ook heel vaak de oorzaak van securityproblemen. Dus als bedrijven daarover nadenken , dan is het vooral in de zin van: ‘Hoe kunnen we mensen veilig vanuit huis laten doorwerken?’ Je moet zorgen dat je daarvoor een goed framework hebt.”
Als je kijkt naar business continuity, zijn we dan al zo ver dat we brand, overstromingen en cybersecurity in één risk assesments meenemen of staat het er nog ver vanaf?
“Samenvoegen in een assesment heb ik nog niet gezien. Maar als je kijkt naar business continuity en business resilience is cyber nu wel een van de grote spelers bij het definiëren van de business roadmap. Om het even wat er gebeurt in de nabije toekomst, of het nu COVID-19, een overstroming of een brand is, business resilience en business continuity staan altijd centraal. Het gaat erom hoe een bedrijf verder kan werken, dat is het grote onderwerp dat vandaag de dag overal terugkomt.”
Zien mensen IT-security nog steeds iets als dat bovenop een bepaalde digitale omgeving wordt gelegd, in plaats van een integraal onderdeel daarvan?
“Dat is een onderwerp dat me na aan het hart ligt. Ik probeer in gesprekken met bedrijven altijd zo veel mogelijk weg te blijven van spreken over IT security. Het belangrijkste is dat je spreekt over information security en IT security is het vehikel om dat te bereiken. In de komende jaren zal cybercriminaliteit de derde grootste economie in de wereld worden. Er is een economische reden waarom aanvallen plaatsvinden. Daar moeten bedrijven en andere organisaties zich dag en nacht bewust van zijn.”
