Copaco organiseerde op donderdag 21 september het evenement “Vision on Security’. Geert Verest, Sales Manager Corporate Account Management Team bij Copaco (links op de foto) heette de aanwezige MSP’s, MSSP’s en andere partners die naar de High Tech Campus in Eindhoven waren gekomen welkom. Hij gaf het woord aan Ruben Koeze, Partner Technology Strategist bij Microsoft voor de openingskeynote.
Niet alleen techniek
“Wat is cybersecurity,” was de centrale vraag van de presentatie. “Niet iedereen verstaat er hetzelfde onder,” wist Koeze. “Als ik bij dit publiek van serviceproviders antwoorden zou noteren op de vraag, dan hoor ik waarschijnlijk zaken als firewall, multifactor authenticatie en virusscanners.” En dat klopt natuurlijk, gaf de spreker aan. “Maar het vormt uiteindelijk slechts een klein onderdeel van cybersecurity, namelijk het technische aspect ervan. En dat is wellicht niet het belangrijkste deel.”
Naast de technologie zijn namelijk ook processen en mensen (“people”) van belang. “Je kunt de cybersecurity prima in technisch opzicht inrichten, maar de processen zijn minstens zo belangrijk.” Als je een antivirusprogramma installeert maar niets met de alerts kunt doen omdat je dat qua procedure niet hebt ingericht, “dan is jouw organisatie, of die van jouw klanten, nog steeds lek,” gaf Koeze aan.
Nog belangrijker is het menselijke aspect aan security. “Als zowel technologie als de processen op orde zijn, maar er wort nog steeds massaal op kwalijke linkjes geklikt dan staat de cyberweerbaarheid nog steeds op een heel laag niveau en dweilen we met de kraan open.”
Holistische blik op security
Koeze pleitte daarom voor een holistische blik op cybersecurity, waarbij de drie elementen technologie, mensen en processen aandacht krijgen. “Dat betekent voor een MSP niet alleen dat ze dat intern holistisch moeten inrichten, maar vooral ook voor hun mkb-klant die zelf de kennis niet heeft alle aspecten van security te overzien. En dat betekent uiteindelijk dat we niet voor elk probleem een nieuwe tool moeten aanbieden en die aan alle andere tools moeten verbinden, maar dat we wellicht het personeel van de klant moeten trainen.”
Mkb-bedrijven willen geholpen worden als het gaat om security, bleek uit de keynote. De vraag die bij hen vooral speelt is: “Wat moeten we doen om zo veilig mogelijk te zijn.” Daarbij wordt zowel door de mkb-ondernemer, als door de MPS vaak een denkfout gemaakt, was de opvallende stelling van Koeze. “Security wordt als doel gezien. Als we eraan doen zijn we veilig. Terwijl het andersom moet zijn: ga uit van de risico’s.”
Risico-analyse van groot belang bij security
De vraag zou daarom moeten zijn: wat kost het mijn bedrijf of het bedrijf van mijn klant, als IT door een security-incident korter of langere tijd niet beschikbaar is. En waar zijn we concreet het meest kwetsbaar. “Dat is een heel belangrijke vraag,” gaf Koeze aan. “Als de website down is, kan dat rampzalig zijn voor een online shop. Maar een advocatenkantoor kan best een dag zonder website. Maar als bij dat juristenkantoor klantgegevens op straat komen te liggen hebben ze echt een serieus probleem, terwijl bij een transportbedrijf de digitale communicatie met de chauffeurs van het grootste belang is.”
Met dat voorbeeld onderstreepte Koeze het belang van risicomanagement als basis van elke vorm van security. “Je moet de kans op een incident afzetten tegen de impact van dat eventuele incident. En je vooral richt op het voorkomen van die incidenten met een hoge impact én op het snel herstellen van juist die incidenten.”
Kans op attack is groot
Dat staat, zo bleek uit de presentatie, los van het algemene besef dat cybersecurity nodig is. “We hebben allemaal sloten op onze deuren, de kans op een inbraak is helemaal niet meer zo groot en de kosten die ermee gemoeid zijn vallen ook vaak mee. Dan kans op een brand is groter, en de schade enorm, dus daarom hebben we ook allemaal een brandverzekering. De kans op een cyberaanval is, zeker ook in het MKB gigantisch. Daar wordt echter onvoldoende naar gehandeld.” En dat hangt uiteindelijk samen met die eerdergenoemde risico-analyse. “Pas als je weet wat een incident aan kosten en inspanningen met zich mee kan brengen ontstaat een beeld van de impact. En daarmee een notie van de notie bepaalde incidenten te voorkomen.”
MSP’s hebben belangrijke taak
En daar ligt, zo maakte Koeze duidelijk aan het publiek, een belangrijke taak voor MSP’s. “Ga het gesprek aan met de klant, en analyseer samen waar de risico’s met de grootste impact liggen. En zorg daarnaast voor een goede basis hygiëne op security-gebied bij de klant, door niet alleen de techniek te verzorgen, maar ook te adviseren op het gebied van processen en medewerkers te trainen.”
