Wacht niet op een cyberaanval, maak dataveerkracht jouw hoogste IT-prioriteit
In de huidige, hyperverbonden bedrijfsomgevingen waar AI-gedreven systemen, multicloudstrategieën en edge computing de gespreksonderwerpen domineren, is het verleidelijk om elk risico dat voorbijkomt met dezelfde urgentie aan te pakken. Maar we weten allemaal dat je meestal niet succesvol bent, als je alles tegelijk wilt doen. Focus is belangrijk: je moet de juiste dingen doen. Dit schrijft Rick Vanover, Vice President of Product Strategy, Veeam Software.
Daarbij is het huidige dreigingslandschap complex, meedogenloos en onvoorspelbaar. Het is niet alleen onrealistisch, maar ook onmogelijk om alle risico’s te elimineren, of het nu gaat om ransomware, verstoringen in de supply chain of datasoevereiniteit. Echte veerkracht begint met het erkennen van de harde waarheid dat niet alles kan worden opgelost of voorkomen.
Focus op wat het belangrijkst is
Veerkrachtige organisaties hanteren een stapsgewijze benadering om risico’s aan te pakken. Ze proberen niet alle kwetsbaarheden in één keer aan te pakken. In plaats daarvan stellen ze prioriteiten op basis van impact en waarschijnlijkheid, zodat belangrijke bedrijfsmiddelen worden beschermd en herstelstrategieën aansluiten bij de doelstellingen voor bedrijfscontinuïteit.
Veerkracht blijft een belangrijk doel van organisaties, aangezien aanvallen toenemen in aantal en complexiteit. Uit het Ransomware Trends Report 2025 van Veeam blijkt dat 89% van de organisaties wereldwijd het doelwit was van cybercriminelen die het op hun back-ups hadden gemunt, een tactiek die steeds vaker wordt toegepast in ransomware-aanvallen. Verder blijkt dat back-up-controles bij heel veel organisaties geen onderdeel uitmaken van hun ransomware-responsplan. Het is dan ook geen verrassing dat 90% van ransomware-slachtoffers vóór een aanval denkt voorbereid te zijn en dat dit vertrouwen daalt met 17% na een aanval. De conclusie? Zelfs organisaties die goed voorbereid zijn moeten voortdurend opnieuw beoordelen welke risico’s echt belangrijk zijn en daarop reageren.
Veerkracht begint met een grondige risicobeoordeling
Elke organisatie, ongeacht omvang of sector, moet regelmatig risicobeoordelingen uitvoeren en niet slechts één keer per jaar als onderdeel van een compliance-checklist. Organisaties moeten hiaten in back-ups, back-up-integriteit en herstelbaarheid voortdurend evalueren.
Ondanks de toenemende regelgeving zijn veel organisaties nog steeds niet voorbereid. In sommige regio’s geven bijvoorbeeld bijna vier op de tien organisaties aan dat ze een ingrijpende herziening nodig hebben om hun IT-activiteiten volledig af te stemmen op hun cyberbeveiligingsteams. Want zonder een sterke basis in dataveerkracht kunnen zelfs de meest geavanceerde AI-gestuurde verdedigingsmechanismen herinfectie of laterale bewegingen na een incident niet voorkomen.
Om voorop te blijven, moet de resilience-planning aanpasbaar zijn. Risico’s veranderen en dat geldt ook voor de controles die organisaties erop toepassen. Regelmatige herbeoordeling is essentieel. Of het nu gaat om het identificeren van de duurtijd van ransomware (in veel gevallen nu minder dan 24 uur) of het tracken van veranderingen in de verwachtingen van de regelgevende instanties.
Dezelfde veerkrachtprincipes
De onderliggende uitdaging is hetzelfde, ongeacht sector of regio: hoe versterk je veerkracht zonder te uitgebreide oplossingen te ontwikkelen of je teams te overbelasten? Ik zie dat organisaties die een focus aanbrengen in hun inspanningen, meer betekenisvolle resultaten behalen. Bij organisaties die bijvoorbeeld samenwerkten met externe experts zoals Coveware by Veeam tijdens incident response, was de kans dat ze losgeld moesten betalen 156% kleiner. En als ze het wel deden, dan betaalden ze 45% minder dan het gemiddelde. Dit is niet alleen financieel voordelig, maar ook een teken van operationele volwassenheid.
Veerkracht gaat niet over perfectie. Het gaat over vertrouwen dat je opbouwt door slimme, weloverwogen keuzes. Van Sydney en Singapore tot New York en Amsterdam, het principe is hetzelfde: veerkracht wordt opgebouwd door minder dingen beter te doen, niet alles in één keer.
Slimmere keuzes met beperkte middelen
IT-managers hebben te maken met krappere budgetten én hogere verwachtingen. Ze moeten dus echt prioriteiten stellen. Uit een gezamenlijk onderzoek van Veeam en McKinsey blijkt dat 74% van de organisaties wereldwijd niet voldoet aan de best practices op het gebied van dataveerkracht en dat bijna een derde van de CIO’s hun maturiteit op dat vlak overschat. En de organisaties die het wel goed doen? Die herstellen tot zeven keer sneller van verstoringen en hebben een derde minder downtime.
Dit betekent niet dat er direct enorme investeringen nodig zijn. Voor iedere dollar die organisaties uitgegeven aan maatregelen voor dataveerkracht, verdienen ze volgens McKinsey 3 tot 5 dollar aan vermeden downtime, juridische risico’s en operationele verstoringen. De ROI van slim prioriteiten stellen is duidelijk.
Vooruitgang, geen perfectie
Het streven naar veerkracht gaat niet over het elimineren van alle dreigingen. Het gaat erom te weten waar je moet ingrijpen en om daadkrachtig te reageren. De meest veerkrachtige organisaties streven niet naar perfectie. Ze streven naar een niveau van veerkracht dat vertrouwen geeft. Ze identificeren hun grootste risico’s, wijzen resources effectief toe en zorgen voor interne afstemming rond wat het belangrijkst is.
Laten we het niet meer focussen op hoe we alles kunnen voorkomen, maar op hoe we ervoor zorgen dat wat belangrijk is goed wordt beschermd, geback-upt en hersteld kan worden. Want bij verstoring gaat veerkracht minder over preventie en meer over het vertrouwen dat de impact zo veel mogelijk wordt beperkt.
Door Rick Vanover, Vice President of Product Strategy, Veeam Software
