Management

Branche
Raket die wegvliegt

Zes goede voornemens voor een vliegende start van het IT-jaar

Wat moet je als IT-manager écht doen om het jaar goed te beginnen?

5 januari 2023

Wat moet je als IT-manager écht doen om het jaar goed te beginnen?

Een nieuw jaar, een nieuw begin, wordt veelal gedacht. Helaas is dat in de businesswereld vaak makkelijker gezegd dan gedaan. Toch zijn er wel een paar acties die je als (IT-)manager kunt - of zelfs móet - ondernemen om 2023 een vliegende start te geven. Een zestal goede voornemens.

1. Breng IT-risico's in kaart

Goede voornemens draaien veelal om zaken die we wíllen doen, maar 2023 start voor veel grote bedrijven met een 'moetje'. De Corporate Governance Code heeft namelijk net een update gekregen, waarmee het verplicht is geworden voor beursgenoteerde bedrijven om in kaart te brengen welke IT-risico's er voor hun organisatie zijn. Voor andere grote bedrijven geldt dit als een dringend advies. "Deskundigheid en ervaring bij het bestuur en de raad van commissarissen over digitalisering is hiervoor cruciaal", aldus de Monitoring Commissie Corporate Governance Code, die toezicht houdt op de naleving van de regels.

Deze risico's kunnen op allerlei gebieden zitten, zoals rondom de afhankelijkheid van leveranciers en de keten en de bescherming van data. Maar logischerwijs valt ook cybersecurity onder het verplicht inventariseren en analyseren van IT-risico's binnen de organisaties.

De lijst met grootste dreigingen voor 2023 - aangedragen door 21 organisaties en experts - kan een goed startpunt zijn voor deze inventarisatie. Zo worden naar verwachting deepfakes een groter probleem dit jaar en worden ook vertrouwde cloudtools vaker ingezet voor aanvallen. En zelfs multifactor authentication wordt steeds vaker omzeild. Een goed moment om eens te kijken of de eigen organisatie - groot of klein - hier kwetsbaar voor is. 

2. Check wat gedekt wordt

2022 eindigde met een verontrustende waarschuwing van CEO Mario Greco van de Zurich Insurance Group, één van de grootste verzekeringsmaatschappijen van Europa. Volgens Greco zijn cyberaanvallen in de nabije toekomst namelijk niet meer te verzekeren. Dergelijke ingrijpende gebeurtenissen komen namelijk met zulke enorme kosten, dat de verzekeraar die niet of nauwelijks kan dekken. Steeds vaker is het immers niet één enkel bedrijf dat getroffen wordt, maar gaat het om hele ketens van afnemers, partners, toeleveranciers, klanten en burgers.

Om de toenemende verliezen door cyberclaims toch te kunnen dekken, hebben verzekeraars de laatste jaren al noodgrepen moeten plegen. Niet alleen stegen daardoor de prijzen voor deze verzekeringen, maar zijn er ook strengere voorwaarden gekomen en clausules die meer van de mogelijke verliezen bij de klant leggen.

Zo bepaalde rond de jaarwisseling een Amerikaanse rechter al dat de polis van een door ransomware getroffen bedrijf de aanval toch niet dekt, omdat er geen direct fysieke schade was. En in dat geval wordt de schade niet vergoed, aldus de clausules in de polis van het bedrijf.

Voor (IT-)managers kan dit als een belangrijke wake-up call gezien worden: gebruik de start van het jaar om de polis nog eens goed na te lopen, om te zien wat er wel en niet gedekt wordt. Een vervelende verrassing kan zo gemakkelijk voorkomen worden.

3. Zorg dat de kennis van de commissaris up-to-date is

Zoals de Monitoring Commissie Corporate Governance Code al aangeeft: het is van groot belang dat er voldoende deskundigheid en ervaring rondom digitalisering aanwezig is binnen het bestuur en de raad van commissarissen. Niet alleen omdat er nu dus meer focus op IT zit in de Corporate Governance Code, maar vooral omdat IT in vrijwel alle organisaties een belangrijk component is in de gehele bedrijfsvoering. 

Maar commissarissen hebben lang niet altijd voldoende IT-kennis, zo gaven respondenten aan in de 14e editie van het Grant Thornton comissarissen benchmarkonderzoek van Board in Balance en Herbert Rijken. Maar welke kennis ontbreekt dan en wat moet een commissaris eigenlijk weten? Dirk-Jaap Klaassen, researcher en partner bij Board in Balance, zette dit in 2022 voor AG Connect op een rij. Doe daar als manager, commissaris of andere belanghebbende je voordeel mee.

4. Patch die oude gaten nu écht

Wie digitale risico's het hoofd wil bieden, zorgt in ieder geval voor een goed patchbeleid. Maar dat blijkt op diverse plekken nog niet goed geregeld. Uit cijfers van beveiligingsbedrijf ESET Nederland, die zij desgevraagd met AG Connect deelde, blijkt namelijk dat zeker 35% van de externe inbraakpogingen op netwerken in het tweede halfjaar van 2022 op oude gaten gericht is. 

“Dit betekent dat deze kwetsbaarheden door organisaties nog lang niet altijd gepatcht zijn en er nog veel organisaties kwetsbaar zijn voor misbruik van deze (oudere) kwetsbaarheden”, aldus ESET Nederland-directeur Dave Maasland. 

5. Weg bij LastPass?

Maar ook meer recente incidenten kunnen voor grote problemen gaan zorgen. In augustus werd wachtwoordmanager LastPass het slachtoffer van een cyberaanval. Daarbij is onder meer een backup van datakluisgegevens buitgemaakt. De meeste gegevens in die opslag zijn versleuteld met 256-bit AES encryptie en alleen toegankelijk te maken met het Master Password dat alleen bij de gebruikers zelf bekend is. Daarentegen kunnen de aanvallers wel zien bij welke websites getroffen gebruikers een beveiligd account hebben.

Hoewel LastPass zelf zegt dat dit alles geen reden is voor paniek, baart het diverse security-experts juist wel zorgen. Zo zegt LastPass dat gebruikers geen actie hoeven te ondernemen, maar dat is volgens de experts niet het hele verhaal. Is je Master Password al elders gekraakt of erg eenvoudig, dan kunnen de aanvallers de wachtwoorden wél ontsleutelen en inzien. Er wordt door deze experts dan ook geadviseerd om álle wachtwoorden in de kluis te veranderen.

Een aantal experts gaat zelfs nog een stap verder en pleit ervoor om helemaal afscheid te nemen van LastPass. "Ik zeg niet dat gebruikers afscheid moeten nemen van LastPass vanwege deze laatste inbreuk. Ik zeg dat ze moeten maken dat ze wegkomen bij LastPass vanwege de lange geschiedenis van incompetentie, apathie en nalatigheid. Het is overduidelijk dat ze niet om hun eigen veiligheid geven, en nog veel minder om jouw veiligheid", zegt Jeremi Gosney, Senior Principal Software Engineer bij Yahoo, bijvoorbeeld. Wie het zekere voor het onzekere wil nemen, kan hier dus gehoor aan geven.

6. Men de leveranciers

Veel van deze goede voornemens draaien om cybersecurity. Logisch, want het is een belangrijk onderwerp voor elk bedrijf. Maar ook de afhankelijkheid van leveranciers kan kopzorgen opleveren. De machtsverhoudingen kunnen immers behoorlijk scheef liggen. CIO Platform heeft echter een lijst van elf 'fair principles' opgesteld, om als bedrijf beter om te kunnen springen met de leveranciers en de afhankelijkheid van hen.

Als (IT-)manager of andere belanghebbenden kun je deze principes aangrijpen om de eigen verhoudingen met leveranciers onder de loep te leggen en waar nodig te verbeteren. Of ze kunnen gebruikt worden als aanleiding om toch maar eens van leverancier te veranderen. Want alleen als de paarden goed gemend worden, kan de race gewonnen worden en krijgt 2023 écht een vliegende start. 

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.