Johan Van Der Biest -Deputy Head, Thematic Equity & Felix Demaeght Equity Research Analyst
Voor Outlook 2022
Cyberbeveiliging van bedrijven na COVID: een zilveren randje?
Er zijn weinig gevestigde bedrijven die digitale transformatie niet als één van hun belangrijkste speerpunten beschouwen. En hoewel men het er nog niet eensluidend over eens is wat dit nu precies inhoudt, wordt het algemeen beschouwd als een megatrend. Bovendien is de digitale transformatie, nu werknemers door de COVID-19 lockdowns thuis zijn gaan werken, een megatrend geworden die zich in een snel tempo doorzet.
Een belangrijk onderdeel van de digitale transformatie die aan de gang is, zal een paradigmaverschuiving zijn van een gecentraliseerde “on-premises” IT-architectuur naar een gedistribueerde cloudarchitectuur. Die verschuiving zit nog in een pril stadium, maar wij verwachten dat ze zich zal uitbreiden tot de meeste sectoren, regio’s en bedrijfstakken. Het draait niet enkel om de manier waarop bedrijven hun werknemers laten inloggen op interne bedrijfsnetwerken, het internet en diverse toepassingen. Het zal ook gaan over cyberbeveiliging, wat vandaag belangrijker is dan ooit.
Cyberbeveiliging en ESG
Cyberbeveiliging heeft een directe en aanzienlijke impact op milieuveiligheid, de relaties met partners en de beveiliging van gevoelige gegevens, alsook van werknemers[1]. Dat heeft verreikende gevolgen voor de sociale en governance-aspecten van bedrijfsactiviteiten en voor het duurzaamheidsprofiel van bedrijven.
“De mate waarin de raad van bestuur belang hecht aan cyberbeveiliging, kan een lakmoesproef zijn voor de doeltreffendheid waarmee een bedrijf omgaat met cyberrisico’s”, zo blijkt uit de Principles for Responsible Investment (PRI), ‘s werelds grootste voortrekker van verantwoord beleggen. Naast de governance-aspecten van cyberbeveiliging zijn er ook sociale aspecten, waaronder de beveiliging rond het verzamelen, bewaren en gebruiken van gevoelige, vertrouwelijke of bedrijfseigen klantgegevens.
Hierdoor zijn veel bedrijven in hun jaarlijkse duurzaamheidsverslagen updates gaan opnemen over de ESG-aspecten van hun cyberbeveiliging. Hoewel dit een positieve ontwikkeling is, moeten we er wel bij zeggen dat bedrijven de neiging hebben om de graadmeters die ze rapporteren op hun eigen leest te schoeien[2] omdat er in dit domein nog steeds geen standaard reportingvoorschriften bestaan.
Wat is er veranderd?
Amper enkele jaren geleden moesten bedrijfsnetwerken de toegang voorzien en beveiliging bieden voor verbindingen die hoofdzakelijk vanaf de kantoor pc’s van de werknemers tot stand kwamen. Wanneer werknemers in zeldzame gevallen van op afstand moesten inloggen, werd gebruik gemaakt van een VPN-toepassing (virtueel privé-netwerk).
Het belangrijkste veiligheidskenmerk van dergelijke gecentraliseerde netwerken was een perimeter (firewall), die was ontworpen om zowel de inkomende als het uitgaande trafiek af te schermen.
Door de lockdowns en beperkingen als gevolg van de COVID-19 pandemie is werken op afstand echter een noodzaak geworden, waarop de oude gecentraliseerde IT-infrastructuur niet was voorzien. Die botste op haar grenzen toen duizenden werknemers in bedrijven (in sommige gevallen) op afstand inlogden vanaf duizenden locaties, waarbij sommige misschien onbeveiligde laptops en tablets gebruikten. Werknemers hebben hun pc op kantoor gelaten voor wat het is. De systemen zijn kwetsbaarder geworden en hackers kunnen langs veel meer openingen binnendringen, die verder gaan dan de oude vertrouwde ‘firewall’.
Een zilveren randje
Cloud-gebaseerde IT-infrastructuur is al enige tijd een voor de hand liggend alternatief voor het traditionele gecentraliseerde model, maar door de pandemie is het nog belangrijker geworden. Wij verwachten dat de bredere migratie naar de cloud zal versnellen.
Dankzij de opkomst van verschillende aanbieders van clouddiensten, zoals AWS, Microsoft Azure en GCP, is er een bredere en nieuwe visie op IT-infrastructuur ontstaan. In het verleden moesten bedrijven zelf hun hard- en software, zoals servers en databases, aanschaffen en beheren. Vandaag kan IT-infrastructuur worden uitbesteed als “IaaS” (Infrastructure-as-a-service[3]), samen met alle toepassingen en software die daarvoor nodig zijn - Software-as-a-Service[4] (SaaS). Veel beursgenoteerde bedrijven hebben grote belangstelling voor deze nieuwe diensten, en de gemiddelde onderneming gebruikt nu meer dan 100 SaaS-applicaties.
De opmars van de cloud biedt bedrijven de flexibiliteit en schaalbaarheid dat zij voorheen niet hadden. De cloud biedt ook een ander soort beveiliging. Beveiliging op basis van een centrale perimeter bood gemachtigde gebruikers toegang tot vrijwel alles op dat netwerk. Het is duidelijk dat dit een aanzienlijk risico zou inhouden wanneer iemand van buiten het bedrijf zou willen inloggen, en ook voor de veiligheidsperimeter. Daarom draait cyberbeveiliging tegenwoordig veel meer rond een concept van “zero trust”. Telkens wanneer een bekende gebruiker toegang wil krijgen tot een dienst, zoals Salesforce, Office 365 of Zoom, wordt dat afzonderlijk goedgekeurd en wordt de verbinding met die dienst weer verbroken zodra de gebruiker de toepassing heeft afgesloten. Op die manier wordt er alleen toegang verleend tot de toepassingen die de gebruiker moet gebruiken en kunnen er geen andere toepassingen in het netwerk worden gebruikt.
Bedrijven die hun aanpak van cyberbeveiliging bijwerken en ontwikkelen, hebben de wind in de zeilen omdat de ESG-geloofsbrieven van cyberbeveiliging erkend worden. Ook verandering is nodig, wat voortvloeit uit de nieuwe werkomgeving. De “overstap naar de cloud”, zoals wij het noemen, en het versterken van hun cyberbeveiliging zal bedrijven op de lange termijn in meer dan één opzicht ten goede komen. Omdat de crisis van COVID-19 een zilveren randje heeft, zijn wij er sterk van overtuigd dat deze positieve trends in de nabije toekomst zullen aanhouden.
Ons team past zijn expertise inzake innovatieve technologieën, digitale transformatie en cyberveiligheid toe om een aantal ontwikkelingen die aan de gang zijn nauwlettend op te volgen, en om de bedrijven te zoeken die zullen profiteren van de groeitrends op deze markten.