4 juni 2020
Wanneer u een bedrijf opricht of een professionele activiteit als zelfstandige start, heeft u daar een goede reden of zelfs een geniaal idee voor. De bestaansreden van een onderneming is uiteraard het realiseren van die doelstellingen. Eén van de eerste zaken die u in orde moeten hebben, is een businessplan en een meerjaren-budgettering om de opstart te overleven.
In de meeste gevallen wilt u uiteraard uw bedrijf verder laten groeien en uitbouwen, om uiteindelijk zelfredzaam te zijn. Het is dan ook logisch dat u kijkt naar de nodige investeringen om groei te realiseren (iedereen wil toch graag met trots terugkijken op zijn realisaties).
Net zoals in uw privéleven, zijn er aan het ondernemen ook risico’s verbonden. Het kan al eens foutlopen en daar heeft u niet altijd controle over. Deze risico’s gaat u inperken door gepaste voorzorgsmaatregelen te nemen. Soms kunt u dat niet zonder hulp en dan is het handig om het resterende risico of uitzonderlijke gevallen in te dekken met een verzekering.
Ieder van ons weet best hoe u uw nieuwe wagen of uw huis kunt beschermen tegen inbraak, brand of andere schade. En wanneer u kinderen hebt, of zelf een hobby met meer fysieke uitdaging uitoefent, is een goede verzekering echt wel nodig.
We bespreken de nood en planning van een verzekering in cybersecurity in een volgend artikel, maar nu gaan we graag wat dieper in op het definiëren van het budget qua de voorzorgsmaatregelen binnen cybersecurity.
Maar waarom zou een ondernemer budget moeten voorzien op vlak van cyberveiligheid?
Hoe meer onze ondernemingen de digitale weg opgaan, hoe groter het cyberrisico zal worden. Onze digital voetafdruk wordt steeds groter, onze zichtbaarheid wordt groter, we doen meer digitale en internet-business. Hierdoor hebben cybercriminelen meer mogelijkheden om dit uit te buiten.
Met andere woorden, hoe meer ons bedrijf groeit, hoe meer we zullen moeten investeren in cyberveiligheid.
Het is duidelijk, zoals we al aanhaalden in een vorig artikel, dat het cyberrisico niet zal verdwijnen uit ons ondernemingslandschap, integendeel. Het is duidelijk dat we allemaal slachtoffer kunnen zijn van cybercriminaliteit. Groot of klein. Niet alleen de ondernemingen zelf, maar heel ons ecosysteem met werknemers, klanten, partners, leveranciers en overheden.
Dus, wanneer er zoveel mensen kunnen getroffen worden door een aanval, moeten we ons ervan vergewissen wie verantwoordelijkheid draagt en aansprakelijk is, wanneer er niet de nodige aandacht wordt besteed aan het inperken van een risico, dat door ondernemers in de huidige wereld zou moeten gekend zijn.
De bijgewerkte bedrijfswetgeving legt op dat vlak nog meer verantwoordelijkheid bij de bedrijfsleider en het gebrek aan cyberbeveiliging kan u persoonlijk zuur opbreken.
Constante en lange termijn inspanning
Met eenmalig consulting advies kunt u op lange termijn geen goede cyberveiligheid garanderen. Het vraagt een constante inspanning van alle bedrijven, samen met overheidsinstellingen en personen die deel uitmaken van onze maatschappij.
We zijn in de huidige omstandigheden erg flexibel geworden in onze manier van werken en de grens tussen werk en privé vervaagt.
Vandaar dat we aanraden om een jaarlijks cyberbudget te voorzien, om een stabiele basis van uw onderneming en uw privéleven te kunnen garanderen. Het is belangrijk om uw investering in cyberveiligheid op lange termijn te maximaliseren en uw risico van verantwoordelijkheid en aansprakelijkheid als bedrijfsleider te kunnen inperken.
Maar wat zijn dan die voorzorgsmaatregelen waarover we eerder spraken?
Om een antwoord te kunnen bieden op die vraag, moet u eerst de vraag te stellen wat het cyberrisico is voor uw onderneming.
Dus mocht u onvoldoende vertrouwd zijn met cyberveiligheid, is het volgen van een degelijke basiscursus een eerste vereiste.
Traditioneel sputteren heel wat bedrijfsleiders van kleine ondernemingen tegen met de stelling “onze onderneming is te klein en bijgevolg niet interessant voor een cyberaanval”.
Spijtig genoeg spreken de cijfers dit tegen. We hebben dit al eerder aangehaald: meer dan de helft van de cyberaanvallen hebben betrekking op de kleine bedrijven net omwille van hun kwetsbaarheid.
In het Engels heet dat “low hanging fruit” of makkelijke slachtoffers, waarbij de cybercrimineel ervan uitgaat dat de individuele appels ook zijn mand doen vullen.
Vuistregel?
U vraagt zich nu wellicht af waarom we nog geen algemene vuistregel kunnen aanreiken…
Wel, dat komt omdat elke onderneming UNIEK is. Uw UNIEKE selling points, hetgeen u zo verschillend maakt van de concurrentie, zorgt ervoor dat u ook een individueel cyberveiligheidsplan nodig hebt. De cybersecurityoplossing dat een antwoord biedt op “one fits all” bestaat uiteraard niet. Anders was er ook geen sprake meer van een cyberrisico.
Procentueel onderdeel van het bedrijfsbudget
Vaak wordt er een procentuele verhouding gehanteerd voor het definiëren van het cybersecurity-budget, maar dekt dit wel voldoende de lading?
Hierbij alvast een klein rekenvoorbeeld. Het is uiteraard aan u om te bepalen of dit voldoende gemoedsrust biedt:
Stel dat het budget tussen de 5% en 20% bedraagt van de ICT kost die u afneemt bij uw IT service provider.
Bij een maandelijkse kost van €3.000, spreken we dus over €150 – €600 per maand. In de veronderstelling dat deze onderneming 20 werknemers tewerkstelt en waarbij een training per persoon €300 zou bedragen, kunnen we onze 20 werknemers getraind krijgen op 4 jaar bij de ondergrens (zonder rekening te houden met personeelsverloop) of op 10 maanden bij de bovengrens, zonder de andere facetten rond cyberveiligheid aan te kunnen pakken.
Hierbij zal de ondernemer dus steeds achter de feiten aan hollen. En dan komt u altijd te laat wanneer het fout loopt. Dit hebben we in het vorige artikel helemaal uit de doeken gedaan.
Hoe bepaalt u dan een evenwichtig cyberveiligheidsbudget?
U moet rekening houden met de volgende facetten:
Wanneer u als ondernemer reeds een eerste beperkte investering hebt gemaakt in het verhogen van uw eigen kennis, dan kunt u alvast aan de slag gaan met het opstellen van een risicoanalyse.
U wilt toch zelf de controle hebben over het inzetten van uw inkomsten om een maximaal rendement op uw cyberveiligheid te bekomen?
Vervolgens is het van belang dat u een cybersecurity-partner zoekt die samen met u een cyberveiligheidsplan gaat opzetten, waarbij er een opsplitsing wordt gemaakt tussen de prioriteiten.
Mits deze eerste belangrijke inspanning, weet u waar u aan toe bent en heeft u alvast de volgende stap gezet.
Daarna kan er gesproken worden over een coaching traject door de cybersecurity expert, gaande van een halve dag per maand tot fulltime. Weet dat u met een flexibel maandelijks budget tussen €500- €1.500 al een heel eind verder komt in uw cyberhygiëne.
Nog steeds geen standaardbedrag nodig in uw budget voor cyberveiligheid?
Heeft u nog steeds het gevoel dat er geen standaardbedrag nodig is in uw budget voor cyberveiligheid?
Bedenk dan even wat u zou doen, wanneer u uw kernactiviteiten voor het behalen van de ondernemingsdoelstellingen niet meer zou kunnen uitvoeren, omdat een cyberaanval uw bedrijf platlegt, met een volledig of een gedeeltelijk inkomstenverlies tot gevolg.
Als ondernemer zal u dus een stuk(je) van uw budget moeten voorzien om uw gemoedsrust te sussen (afkopen van een goede nachtrust) zodat u zich ten volle kunt smijten op het hoofddoel van de onderneming.
Een goed budget plannen voor een goede cyberveiligheid is geen evidentie. Het kost wat voorbereiding en studiewerk. Maar, vergeet niet dat er heel wat maatregelen standaard beschikbaar zijn, zonder zware investering.
Waar kan u mee starten? Hier alvast een paar praktische zaken die u nu meteen kunt uitvoeren, zonder veel geld uit te geven.
Gebruik de (gratis) standaard beveiliging die al aanwezig is in de meeste platformen en applicaties:
Er zijn een aantal degelijke gratis beveiligingsproducten op internet te vinden:
Let op: kijk goed na of het platform dat u gebruikt wel de nodige beveiliging heeft. Voeg die toe waar nodig.
Waar we hier naar verwijzen is: veel gebruikers van cloud toepassingen (zoals online mail) denken dat dat platform al de nodige beveiliging heeft. Dat is niet zo. Hoewel het elke dag beter wordt, moet u vaak een kleine maandelijkse kost betalen voor goede antivirus of phishing-bescherming. Controleer dit!
Spendeer alvast een klein budget aan goede antivirus en anti-phishing software.
Het is dus vaak nuttig om een klein budget (zo ongeveer €5 – €15 per maand per gebruiker) te spenderen aan een degelijke antivirus. Dat is uw eerstelijns verdediging.
Daarna kunt u focussen op de lange termijn planning van uw beveiliging, zoals besproken in dit artikel en de vorige artikels.
In het volgende artikel doen we de cybersecurity verzekering uit de doeken, want die is onbekend en onbemind voor vele ondernemers. Toch is ze meer dan noodzakelijk indien u de tijd en investering in uw bedrijf wilt veilig stellen.