cybersecurity
Business

Wie inzet op cybersecurity, vergroot internationale kansen

25.01.2023
door Bavo Boutsen

Cybercriminaliteit is niet gebonden aan landsgrenzen. Internationaliseren staat voor bedrijven dus niet gelijk aan volledig nieuwe uitdagingen op gebied van cybersecurity. Toch is maturiteit op dit vlak een belangrijke graadmeter voor potentieel succes als internationaal ondernemer

Ondernemers die met hun activiteiten de landsgrenzen oversteken, krijgen in de praktijk te maken met een toegenomen complexiteit. Ieder land of iedere regio waar je als bedrijf actief wilt zijn heeft immers zijn eigen gebruiken en regels die je moet leren kennen. Die redenering klopt echter niet helemaal voor cyberveiligheid. Dit is immers per definitie niet gebonden aan landsgrenzen, waardoor de uitdagingen de facto gelijkaardig blijven. 

Grotere aanvalsoppervlakte

Dat betekent natuurlijk niet dat internationaliseren geen impact heeft. “Uiteraard verandert het wettelijk kader waarin je opereert als onderneming”, stelt Ingvar Van Droogenbroeck, partner bij consultancybedrijf PwC, dat inzake cyberveiligheid zowel audits als consultancyopdrachten uitvoert voor bedrijven uit alle sectoren. “Maar in Europa worden deze verschillen steeds kleiner, omdat de EU een beleid van harmonisering voert. Dat blijkt bijvoorbeeld uit de NIS-Directive, een wetgevend initiatief rond cybersecurity, dat eind vorig jaar werd uitgebreid.”

“Toch is het belangrijk om de verschillende wetgevingen en verplichtingen in elk land waar de organisatie actief is te analyseren”, pikt Tim Vaes, cybersecurity lead bij consultancybedrijf EY, hierop in. “Om dit te kunnen doen, raden we aan om steeds een ‘governance, risk en compliance’ (GRC)-framework op stellen. Dit identificeert alle risico’s en wetgevingen en linkt deze aan de organisatorische maatregelen en technische controles.” 

Dergelijke inspanningen zijn nodig, omdat internationaliseren toch een vergroting van de cyberrisico’s met zich meebrengt. Een vaak gebruikt concept in die context is de zogenoemde attack surface. Dit wijst op de mogelijke plekken binnen een organisatie die potentieel onderwerp zijn van een aanval. “Vanuit het perspectief van de aanvaller is onze Belgische markt relatief klein. Dat verandert als je in een groter gebied actief bent. Bovendien betekent schaalvergroting over de grenzen ook steeds dat er extra IT-infrastructuur nodig is, die beheerd en geïntegreerd moet worden in de bestaande architectuur. Enkel zo kunnen de ingebouwde veiligheidsgaranties worden gegarandeerd”, aldus Vaes. 

Ook de bredere context van je bedrijfsactiviteit en de regio waarin je actief bent vormen een belangrijke factor. “Wie bijvoorbeeld vandaag beschikt over een fabriek in Oekraïne weet dat de geopolitieke situatie een belangrijke risicofactor is. Hetzelfde geldt voor een speler die zich pakweg toelegt op de productie van computerchips en daarmee in politiek gevoelig vaarwater actief is”, verduidelijkt Van Droogenbroeck.

Spelers die hun zaakjes op orde hebben zullen dit veel makkelijker kunnen vertalen naar de nieuwe, internationale context.

- Ingvar Van Droogenbroeck, PwC

Denk in functie van de risico’s 

Het komt er voor ondernemers dus op aan om risk-based te werken en een strategie in functie van deze risico’s uit te werken. “Dat kan in de praktijk betekenen dat gekozen wordt voor de inrichting van een 24/7 security operations center of het aanstellen van lokale securityteams”, stelt Vaes. 

Dit soort inspanningen moeten er in de praktijk vooral voor zorgen dat de potentiële risico’s worden afgewogen voor er zich incidenten voordoen. “Een voorbeeld hiervan is netwerksegmentatie. Daardoor vermijd je dat hackers via een lokale afdeling in het buitenland in het hoofdkantoor kunnen inbreken. Wij raden dan ook altijd aan om de netwerkarchitectuur te evalueren in geval van een internationale overname”, aldus Van Droogenbroeck. 

Met andere woorden: hoewel de enorme uitdagingen inzake cyberveiligheid niet gebonden zijn aan landsgrenzen, vormt cybersecurity wel degelijk een belangrijke factor voor bedrijven die willen internationaliseren. “Spelers die hun zaakjes op orde hebben zullen dit veel makkelijker kunnen vertalen naar de nieuwe, internationale context. Als je cybermaturiteit nog vrij laag is en je toch al internationaal wilt gaan, maak je het jezelf als onderneming een pak lastiger”, besluit Van Droogenbroeck. 

Vorig artikel
Volgend artikel