Toen onze directeur en hoofd van de beveiligingsstrategie, Jorien Decroos, onlangs sprak op het jaarlijkse evenement van Agoria|Sirris, behandelde ze een onderwerp dat er vaak voor zorgt dat bedrijfsleiders hun interesse verliezen: cyberbeveiliging. In plaats van weer een grimmige kijk op Russische hackers en compliance checklists te presenteren, richtte ze zich op het “kraken” van de gevaarlijke mythes die bedrijven kwetsbaar maken.
Bij Approach Cyber komen we regelmatig de kloof tegen tussen de realiteit van cyberbeveiliging en de perceptie van het bedrijf. Wanneer “cyberbeveiliging” op de agenda van vergaderingen staat, leunen de meeste leidinggevenden niet bepaald enthousiast voorover. De gangbare gedachte blijft “Dat is het probleem van de IT-afdeling, niet van ons”.
Maar dit is wat we hebben gemerkt bij onze klanten: terwijl bedrijfsleiders cyberbeveiliging hebben afgedaan als de zorg van iemand anders, hebben cybercriminelen serieus geld verdiend. En steeds vaker is het geld van onze klanten hun doelwit.
De realiteit is dat cyberbeveiliging veel meer is geworden dan alleen een IT-kwestie. Het is een fundamentele zakelijke uitdaging geworden die een directe invloed heeft op groei, reputatie en concurrentievoordeel. Toch hebben veel organisaties nog steeds misvattingen die rampzalig kunnen zijn.
De eerste gevaarlijke mythe: “Cyberbeveiliging is alleen een IT-probleem”.
Deze misvatting is wijdverbreid in organisaties van alle groottes. Het klinkt logisch: huur competente IT-professionals in, schaf beveiligingssoftware aan, vink de compliancebox aan en concentreer je op de “echte” bedrijfskwesties.
Maar deze denkwijze kostte bedrijven als Sea-Invest bijna alles. Toen ze in 2022 werden getroffen door ransomware, had de aanval niet alleen gevolgen voor hun IT-infrastructuur. Hun volledige wereldwijde havenactiviteiten – verantwoordelijk voor het verplaatsen van 150 miljoen ton vracht per jaar – kwamen volledig tot stilstand.
De gevolgen waren onmiddellijk en verstrekkend. Colruyt zag zich plots geconfronteerd met lege winkelschappen. De import van fruit via Antwerpen kwam tot stilstand. Olieterminals moesten terugvallen op manuele processen die al tientallen jaren niet meer gebruikt werden. Dit was geen IT-incident meer; het was een complete bedrijfscontinuïteitscrisis die hele toeleveringsketens trof.
Wat we door jaren van consultancy hebben geleerd is het volgende: IT-teams kunnen de systemen ondersteunen, maar bedrijven draaien erop. Als die systemen falen, is het niet de IT-afdeling die aan gefrustreerde klanten moet uitleggen waarom hun bestellingen vastzitten in digitaal vagevuur.
De waarheid is dat cyberbeveiliging niet draait om firewalls en antivirussoftware. Het gaat om het waarborgen van de bedrijfscontinuïteit morgen, volgende week en volgend jaar. Het gaat om het beschermen van het fundament waarop al het andere is gebouwd.
De tweede mythe: “Mensen zijn de zwakste schakel”.
Dit verhaal domineert discussies in directiekamers. Ja, het is waar dat de overgrote meerderheid van succesvolle cyberaanvallen begint met een menselijke fout: iemand klikt op een verdachte link, downloadt een nep-cv of trapt in een overtuigende phishing-e-mail. Het is gemakkelijk om de menselijke natuur de schuld te geven en verder te gaan.
Maar deze manier van denken mist een cruciale kans: mensen zijn niet alleen kwetsbaar. Met de juiste investeringen worden ze de sterkste verdedigingslaag.
De cijfers vertellen een overtuigend verhaal. Beveiligingsbewustzijnstraining kost ongeveer de prijs van een zakendiner of een weekendje weg per werknemer per jaar. Vergelijk dat eens met het gemiddelde datalek, dat meer kost dan het huis van de meeste mensen.
Organisaties die investeren in uitgebreide trainingsprogramma’s zien opmerkelijke resultaten. Het percentage werknemers dat op phishing klikt daalt van ongeveer een derde naar minder dan 5%. Maar de echte transformatie vindt plaats wanneer goed opgeleide medewerkers niet langer passieve ontvangers zijn van beveiligingsbeleid, maar actieve deelnemers worden in het opsporen van bedreigingen.
We hebben deze transformatie bij onze klanten waargenomen. Als medewerkers hun rol in cyberbeveiliging begrijpen en zich gesterkt voelen om te handelen, worden ze ongelooflijk effectief in het opsporen en stoppen van bedreigingen voordat ze schade kunnen aanrichten. De meldingspercentages voor verdachte e-mails stijgen van vrijwel nul naar echt indrukwekkende niveaus.
De les is duidelijk: mensen zijn niet de zwakste schakel. Ongetrainde mensen zijn dat wel. Er is een cruciaal verschil en het overbruggen van die kloof kan uw bedrijf redden.
De derde mythe: “We zijn te klein om een doelwit te zijn”.
Dit is misschien wel de gevaarlijkste mythe van allemaal. In talloze gesprekken met klanten horen we variaties hierop: “We zijn niet interessant,” “Hackers hebben grotere doelen,” “We hebben niets waardevols.”
Maar bedenk dit: elk bedrijf heeft geld, klantgegevens en activiteiten waarvan het verlies een groot probleem zou zijn. Dit is precies waar cybercriminelen naar op zoek zijn.
Wat veel bedrijfsleiders zich niet realiseren is dat hackers vaak niet zorgvuldig individuele doelwitten selecteren. Ze voeren geautomatiseerde aanvallen uit en gooien hun netten uit om te zien wat ze vangen. Als de verdediging zwak is, worden kleinere organisaties het voornaamste doelwit.
De ongemakkelijke waarheid is dat klein zijn niet zorgt voor onzichtbaarheid, maar voor kwetsbaarheid. Kleine en middelgrote bedrijven hebben vaak waardevolle gegevens maar beperkte beveiligingsmiddelen. Ze zijn verbonden met grotere toeleveringsketens, maar hebben minder afweermechanismen. Vanuit het perspectief van een cybercrimineel vormen ze de perfecte kans.
We hebben gemeentelijke overheden, plaatselijke ziekenhuizen en familiebedrijven het slachtoffer zien worden van cyberaanvallen. De aanvallers kijken niet naar de grootte van het bedrijf, maar naar de kwetsbaarheid en het potentiële rendement op investering.
Grootte is niet belangrijk voor cybercriminelen. Kwetsbaarheid wel. Organisaties kunnen het zich niet veroorloven om klein zijn te verwarren met veilig zijn.
Wat staat er echt op het spel? Meer dan financieel verlies
Wanneer we het met bedrijfsleiders hebben over cyberbeveiligingsrisico’s, richten de gesprekken zich vaak voornamelijk op de financiële gevolgen. De cijfers zijn inderdaad ontnuchterend – het gemiddelde datalek kost wereldwijd €4,5 miljoen, waarbij zelfs kleinere incidenten €200.000-500.000 kosten.
Maar de financiële klap is nog maar het begin van de problemen.
Sinds België NIS2 heeft geïmplementeerd, worden directeuren nu persoonlijk aansprakelijk gesteld voor fouten in de cyberbeveiliging. Dit is geen bedrijfsaansprakelijkheid waarbij de bedrijfsverzekering de kosten dekt – het is persoonlijke aansprakelijkheid die gevolgen kan hebben voor individuele activa en professionele reputaties.
Het bedrijfslandschap is drastisch veranderd. Bij besprekingen over fusies en overnames speelt cyberbeveiliging in 96% van de transacties een rol bij de waardebepaling. Verzekeringsmaatschappijen verlagen de premies voor goed beschermde bedrijven, terwijl ze de tarieven voor bedrijven zonder adequate bescherming drastisch verhogen. Organisaties met een sterk beveiligingsbeleid behouden twee keer zoveel klanten als hun minder goed beschermde concurrenten.
Het meest opvallende is hoe cyberbeveiliging een onderscheidende factor is geworden voor de concurrentie. Bedrijven die dit strategisch aanpakken, voorkomen niet alleen rampen, maar positioneren zichzelf als de bedrijven die klanten vertrouwen, partners verkiezen en investeerders hoger waarderen.
Deze verschuiving betekent een fundamentele verandering in hoe organisaties moeten denken over cyberbeveiliging.
Het gaat niet langer om het vermijden van rampen; het gaat om concurrentievoordeel in een steeds digitalere economie.
Het juiste doen: Kwaliteit boven snelle oplossingen
Organisaties die bereid zijn om cyberbeveiliging serieus te nemen, moeten zich ertoe verbinden om het goed te doen.
De onmiddellijke reactie is vaak: “Maar cybersecurity is duur!” De reactie zou moeten zijn: “Geen goede cyberbeveiliging hebben wanneer je het nodig hebt, is veel duurder.”
Te veel organisaties proberen de kantjes eraf te lopen met voordelige beveiligingsoplossingen. Het is als het kopen van goedkope veiligheidsuitrusting, het lijkt financieel verstandig totdat het faalt wanneer het het meest nodig is. Goede cyberbeveiliging vereist een goede investering.
Effectieve cyberbeveiliging vraagt om investeringen op drie cruciale gebieden: de juiste technologie, de juiste processen en de juiste mensen.
Het belangrijkste inzicht is dat effectieve beveiliging wordt ingebed in de activiteiten van de organisatie. Het leeft in de dagelijkse gewoonten van werknemers, systeemconfiguraties en bedrijfscontinuïteitsplanning. Als cyberbeveiliging op deze manier wordt benaderd, is het niet langer een extra kostenpost, maar wordt het een concurrentievoordeel dat groei en innovatie mogelijk maakt.
Voorwaarts: Van noodzakelijk kwaad naar strategisch voordeel
De transformatie van het beschouwen van cyberbeveiliging als een kostenpost naar het erkennen ervan als een business enabler begint met het veranderen van de organisatorische mindset op directieniveau.
Bedrijven die cyberbeveiliging behandelen als een strategische investering laten consistent hogere waarderingen, een sterkere klantenbinding en een superieure operationele veerkracht zien. Bedrijven die nog steeds werken volgens het “IT-probleem”-paradigma worden geconfronteerd met steeds existentiëlere bedreigingen van geavanceerde aanvallers, strenge regelgeving en concurrentienadelen.
De volgende keer dat cyberbeveiliging ter sprake komt in organisatorische discussies, moet het leiderschap niet denken aan “IT-probleem” of “noodzakelijk kwaad”. Denk in plaats daarvan aan: zakelijke kansen, concurrentievoordeel, merkbescherming.
Cyberbeveiliging moet worden gezien als het fundament dat onverschrokken innovatie en zelfverzekerde groei mogelijk maakt in een wereld die steeds digitaler wordt.
Organisaties bevinden zich op een kritiek punt. De combinatie van escalerende bedreigingen, strenge regelgeving en ongekende mogelijkheden betekent dat bedrijven die besluitvaardig handelen, zullen floreren in de digitale economie. Degenen die blijven uitstellen riskeren niet alleen financiële verliezen, maar ook een mogelijk faillissement.
In de onderling verbonden wereld van vandaag, waar een malware-infectie van zeven minuten wereldwijde activiteiten kan vernietigen, is cyberbeveiliging niet optioneel, maar vormt het de basis voor het voortbestaan van moderne bedrijven.
De mythes die hier worden besproken – dat cyberbeveiliging alleen een IT-probleem is, dat mensen de zwakste schakel zijn, dat kleine bedrijven geen doelwit zijn – deze misvattingen kosten bedrijven letterlijk miljoenen en bedreigen hun voortbestaan.
Het wordt tijd dat organisaties stoppen met het omzeilen van de randjes en deze gevaarlijke mythes direct gaan aanpakken. Want als bedrijven echt vooroplopen op het gebied van cyberbeveiliging, beschermen ze niet alleen hun bedrijf, maar stellen ze ook hun toekomst veilig, vandaag nog.
________________________________________
Bij Approach Cyber overbruggen we de kloof tussen bedrijfsstrategie en cyberbeveiligingsimplementatie. Ons team, geleid door experts zoals Jorien Decroos, helpt organisaties cyberbeveiliging te transformeren van een kostenpost naar een concurrentievoordeel. Neem contact met ons op als u wilt weten hoe een strategische investering in cyberbeveiliging de bedrijfswaarde kan verhogen en tegelijkertijd kan beschermen wat het belangrijkst is.
