Plannen alleen zijn niet meer genoeg in een onvoorspelbare wereld

Laten we dit eens vertalen naar de wereld van cybersecurity. En dan vooral de wereld waarin een organisatie al geaccepteerd heeft dat er een grote kans is om ooit succesvol gehackt te worden. Preventie? Absoluut noodzakelijk. Waterdichte security? Vrijwel onmogelijk. Dan is het volgende adagium: goed voorbereid zijn op een malware-aanval is eveneens een must. Maar er zijn te veel factoren en onvoorziene omstandigheden waarmee je als onderneming rekening moet houden. Geen enkel plan of scenario kan hiermee rekening houden. Bovendien, zodra je een plan op (virtueel) papier hebt, is het al verouderd.

Drievoudige impact

Met de impact van wetgeving, zoals DORA, NIS 2 of de AI Act, kun je als organisatie nog wel rekening houden. Koepel- of brancheorganisaties, partijen zoals het DTC, kunnen kleinere ondernemingen helpen met het vertalen van de impact van de regels – zoals een meld- en zorgplicht – naar bedrijfsbeleid. Dat betekent wel meer dan het afvinken van hokjes: het betekent het omarmen van de geest van de wet, zoals het afstemmen van je beleid op de grotere verantwoordelijkheid van bestuurders.

Maar twee andere elementen - de impact van nieuwe technologie zoals AI en die van statelijke actoren - zijn gewoonweg niet in hokjes te plaatsen. Allereerst de ontwikkeling van AI en het gebruik ervan door cybercriminelen: dat gaat te snel, is te onvoorspelbaar. Bovendien, zoals cybersecurity-expert Peter Zinn al opmerkte tijdens de Dutch IT Security Day begin juli: het grootschalige gebruik van AI-tools door werknemers faciliteert het onbedoeld lekken van belangrijke bedrijfsdata, iets waar criminelen ook graag gebruik van maken.

Dan die statelijke actoren: Rusland, China, Noord-Korea, Iran. Wat zijn hun doelen? Desinformatie? Het onderuithalen van kritieke infrastructuur? Het stelen van technologische innovaties of geld ter bekostiging van militaire speeltjes (zoals Noord-Korea doet). Betekent dat een bedreiging voor jouw onderneming, of voor een zwakkere schakel in jouw bedrijfsketen? En dan is er nog de vervagende scheidslijn tussen staten en cybercriminele groepen, die het zelfs voor enterprises en overheden lastig maakt om risico’s en dreigingen in te schatten - laat staan voor de gemiddelde mkb’er.

Plannen of planning?

Heeft het dan geen enkele zin om plannen te maken voor wanneer het onverhoopt toch mis gaat? Zeker wel. Geen rigide beleidsstukken die vervolgens in een la verdwijnen, maar meer dynamische scenario’s, met meer flexibele áls dit, dan dat’-proposities. Een goede voorbereiding is nog altijd het halve werk, zeker wanneer je medewerkers hierin structureel meeneemt.

Bovendien oefen je zo als organisatie voortdurend het planningsproces: zodat management en werknemers bij die cyberaanval die toch door je defensie komt, ook zonder het juiste scenario weet wie wat moet doen, wat jouw rol is en die van je security-partner. Zodat je de schade kunt beperken.

Hoe andere IT- en security-beslissers dit doen, kun je lezen in de interviews die je binnenkort in zomereditie van Dutch IT Leaders vindt. Zodat je daarna net wat geruster op vakantie kunt gaan.

Martijn Kregting
Hoofdredacteur Dutch IT Leaders
m.kregting@dutchitleaders.nl

U kunt dagelijks nieuws, achtergronden en analyses vinden op ons platform www.dutchitleaders.nl en ons partnerplatform www.dutchitchannel.nl.