Gedeelde lessen, sterkere verdediging: Wat CISOs kunnen leren van de slechtste dagen van anderen

In de dynamische wereld van cyberbeveiliging kunnen de grootste lessen komen van de ervaringen van anderen. Leren van de slechtste dagen van andere organisaties biedt CISOs de kans om hun eigen verdedigingen te versterken en zich beter voor te bereiden op de onvermijdelijke uitdagingen van 2025. In deze blog delen we belangrijke inzichten en praktische tips uit de IT-beveiligingsgemeenschap die zijn opgedaan na zware cybercrises.

Les 1: Leid stakeholders op

“Het management geeft er gewoon niet om... totdat een incident zoals ransomware hen dwingt om erom te geven.”

Cyberbeveiliging is een verantwoordelijkheid van de gehele organisatie, niet alleen van het IT-beveiligingsteam. Veel CISOs merken echter dat bedrijfsleiders vaak pas waarde hechten aan maatregelen zoals multi-factor authenticatie (MFA) als het te laat is. Een effectieve communicatie die deze kloof overbrugt, is misschien wel de grootste uitdaging van een CISO.

Door beveiligingsrisico’s te vertalen naar bedrijfsrisico’s, zoals mogelijk omzetverlies of reputatieschade, kunnen stakeholders beter overtuigd worden van het belang van cybersecurity.

Aanbeveling: Plan regelmatige informatiebeveiligingssessies voor niet-technische stakeholders en leg uit hoe cybersecurity bijdraagt aan bedrijfsdoelen zoals reputatiebeheer, klantvertrouwen, operationele continuïteit en dataveiligheid.

Les 2: Oefen en test crisisrespons

“Incidenten maken duidelijk hoe slecht organisaties voorbereid zijn. Je kunt deze situaties van tevoren oefenen, maar andere operationele taken krijgen altijd prioriteit.”

Een passend incidentresponsplan (IR) is essentieel, maar alleen een plan hebben is niet genoeg—het moet ook regelmatig getest worden. Crisis-simulaties, tabletop-oefeningen en red team/blue team-scenario’s kunnen zwakke plekken blootleggen.

Bedrijven zoals Netflix en Facebook voeren bijvoorbeeld regelmatig ‘Chaos Monkey’-simulaties uit om de reactietijd van hun teams te meten. Crisissimulaties bereiden teams beter voorop echte incidenten.

Aanbeveling: Voer regelmatig IR-oefeningen uit en wissel de scenario’s af om een breed scala aan bedreigingen te dekken, van ransomware-aanvallen tot interne dreigingen.

Les 3: Documenteer alles

“Je weet nooit wanneer u notities van vergaderingen, e-mails of een informeel gesprek nodig zult hebben!”

Goede documentatie is niet alleen een best practice, maar een noodzakelijkheid bij het afhandelen van beveiligingsincidenten. Of het nu gaat om een audittrail, vergadernotities of e-mails, duidelijke registraties kunnen zowel de IT-leiding als de organisatie juridisch en operationeel beschermen.

Daarnaast helpt grondige documentatie bij het beter begrijpen van incidenten, sneller nemen van vervolgstappen en de evaluatie van het incident.

Aanbeveling: Investeer in een tool om schermopnames te maken zodat alles vastgelegd wordt voor evaluatie of als bewijslast. Zorg dat er bij meetings een notulist aanwezig is zodat de deelnemers kunnen focussen op de inhoud, Neem documenteren op als activiteit in de incident response proces.

Les 4: Maak back-ups en test herstelprocedures

“Niemand geeft om u back-ups. Ze geven om het herstel. Test dat.”

Back-ups zijn alleen nuttig als u ze ook daadwerkelijk kunt herstellen. Het testen van bestandsherstel zonder volledige systeemherstel te verifiëren kan leiden tot rampzalige situaties.

Na de WannaCry-ransomware-aanval werd het belang van betrouwbare back-ups nog duidelijker. Wist u dat 60% van de bedrijven die hun back-ups niet testen, restore-problemen hebben tijdens een crisis waardoor ze gedwongen worden losgeld te betalen of belangrijke data verloren?

Aanbeveling: Maak het testen van back-up- en herstelprocedures een vast onderdeel van u continuiteitsplan. Test het terugzetten van de back-up op zowel bestandsniveau als volledige systeemherstel. Test of het systeem na de restore ook werkelijk functioneert.

Les 5: Creëer een gebalanceerd leverancierslandschap

“Het draait niet alleen om de juiste beveiliging, maar ook om de juiste balans.”

Het consolideren van leveranciers kan handig zijn voor eenvoudiger beheer en lagere kosten, maar brengt risico’s met zich mee. Wanneer te veel vertrouwen wordt gesteld in één leverancier, kan één incident verstrekkende gevolgen hebben voor de gehele organisatie. Het datalek bij Okta in 2022 toonde aan hoe kwetsbaar een organisatie kan worden door overmatige afhankelijkheid van één partij. Een doordacht en evenwichtig leverancierslandschap vermindert de kans dat één incident bij een leverancier leidt tot een grootschalige verstoring, terwijl het beheer beheersbaar blijft.

Aanbeveling: Houd uw leveranciersportfolio goed in balans door jaarlijks een grondige evaluatie uit te voeren. Streef naar diversiteit waar nodig en eenvoud waar mogelijk. Kies bijvoorbeeld een mix van leveranciers: één partij voor centrale security-oplossingen en een andere voor endpointbeveiliging, zodat u risico’s spreidt zonder dat het beheer onnodig complex wordt.

Les 6: Verbeter communicatie met leveranciers

“Hackers communiceren beter onderling dan beveiligingsprofessionals en hun leveranciers.”

Goede communicatie met leveranciers is cruciaal. Een communicatiekloof kan leiden tot vertragingen in de respons en de schade vergroten. Organisaties zoals de Mayo Clinic hanteren proactieve communicatie met leveranciers en eisen naleving van strikte beveiligingsprotocollen.

Aanbeveling: Bouw sterke relaties met u leveranciers op en zorg ervoor dat zij snel kunnen reageren op incidenten. Dit is vooral belangrijk voor SaaS-leveranciers die verantwoordelijk zijn voor het beveiligen van uw data.

Les 7: Prioriteer mentale gezondheid om burn-out te voorkomen

“We werken onszelf uit de naad omdat falen geen optie is, maar... voor de directie lijkt falen geen probleem te zijn.”

CISOs en cybersecurityprofessionals werken onder enorme druk, vooral in sterk gereguleerde sectoren. In een onderzoek uit 2023 gaf 62% van de beveiligings- en IT-leiders aan minstens één keer burn-out te hebben ervaren. Burn-out verhoogt de kans op fouten, hoog verloop en uiteindelijk beveiligingslekken.

Het aanpakken van mentale gezondheid is daarom net zo belangrijk als het patchen van technische kwetsbaarheden.

Aanbeveling: Zorg dat de medewerkers zich kunnen concentreren op het incident en niet afgeleid worden door randzaken. Zorg ook voor de nodige ontspanning en een goede privé-werkbalans. Hou de mentale gezondheid van de leden van het crisisteam goed in de gaten.

Checklist voor CISOs in 2025

Om beter voorbereid te zijn op de toekomst, kunnen CISOs deze checklist gebruiken:

• Oefen crisisscenario’s: Plan regelmatig IR-oefeningen en verfijn het responsplan.
• Betrek stakeholders: Communiceer risico’s en voordelen in termen van bedrijfsimpact.
• Documenteer alles: Zorg voor gedetailleerde logs en notities voor audits en herstel.
• Test back-ups grondig: Verifieer dat herstelprocedures werken onder realistische omstandigheden.
• Gebalanceerd leverancierslandschap: Zorg voor een goed afgewogen leverancierslandschap met een goede balans tussen veiligheid, aantal leveranciers en impact op beheer.
• Bescherm mentale gezondheid: Prioriteer het welzijn van het team om langdurige prestaties te waarborgen.

Door deze lessen te integreren, kunnen CISOs hun organisaties beter beschermen met veerkrachtige systemen en teams. Leer van de bredere beveiligingsgemeenschap: de slechtste dag van de ene organisatie kan een wake-upcall zijn voor anderen.

En binnenkort delen we een praktijkverhaal van een organisatie die met vallen en opstaan door een cybercrisis kwam. Want zoals we eerder schreven: leren van anderen is essentieel. Het kan het verschil maken tussen falen en veerkracht.