Honderd procent veilig kan niet, honderd procent weerbaar wel

In dit artikel:

McKinsey-onderzoek laat zien dat veel organisaties zichzelf sterk vinden op cybergebied (7 op de 10), maar in werkelijkheid is slechts 8% echt effectief weerbaar. De belangrijkste blinde vlek: mensen en organisatieprocessen. Vergelijkbaar met immuniteit bij ziekte leert ervaring je om symptomen sneller te herkennen en schade te beperken; zo werkt het ook bij cyberincidenten.

‘Cyberweerbaarheid’ is een deel van een breder begrip: operationele weerbaarheid. Bedrijven moeten zich voorbereiden op uiteenlopende verstoringen — van geopolitieke crises tot schommelingen in grondstofprijzen — en daar vooraf plannen op maken. Technologie helpt, maar succes hangt evenzeer af van training, duidelijke rollen en repeterende oefeningen. Veel werknemers zullen bij een aanval bevriezen of wegkijken als ze niet weten hoe te handelen; awareness alleen volstaat niet als er geen praktijkoefeningen zijn.

Wetgeving zoals NIS2 en DORA stimuleert die cultuurverandering en legt ook verantwoordelijkheid hoger in de organisatie; bestuurders kunnen aansprakelijk worden gehouden voor het ontbreken van adequate weerbaarheid. Cruciaal is dat iedereen zijn stukje van de puzzel kent en dat incidenten systematisch worden gedeeld en geëvalueerd. Praktijkervaring en open verslaglegging van eerdere aanvallen vergroten realiteitszin en maken de organisatie wendbaarder.