Gepubliceerd op 15 december 2016

‘Optimaal risicomanagement onmisbaar bij inschatten van cyberrisico’s’

777De digitale wereld brengt ondernemers een groot goed op het gebied van efficiency en slagvaardigheid. ICT ondersteunt alle moderne bedrijfsprocessen intern en zorgt voor een vitale infrastructuur. De ICT-infrastructuur ontwikkelt zich snel. 
Het werken via internet en de handel via webshops is volledig geïntegreerd in onze moderne maatschappij.
Bedrijven kennen een hyperconnectiviteit; het nieuwe werken als BYOD (bring your own device) is standaard.

Ook de criminele wereld heeft ontdekt dat er in deze virtuele maatschappij veel geld te verdienen valt. Cybercriminelen zijn steeds meer financieel gemotiveerd geraakt en er is duidelijk sprake van een trend van ‘hacking for fame’ naar ‘hacking for fortune’. Methoden van criminele hackers evolueren sneller dan security.

Een vals gevoel van veiligheid


“Dat overkomt ons niet” is een veelgehoorde reactie op de vraag of een bedrijf voldoende beschermd is tegen cyberaanvallen. Ondernemers zijn vaak van mening dat de ICT-beveiliging afdoende is. Er is immers flink geïnvesteerd in technische middelen zoals firewalls. Echter, de virtuele risico’s worden door ondernemers nog zwaar onderschat en er is veelal geen duidelijk beeld van de gevolgschade. De mkb-ondernemer zal zich bewust moeten worden dat het beheersbaar maken van cyberrisco’s nooit klaar is. Dit is een groot verschil met de traditionele (niet-digitale) risico’s. Het risico van brand evolueert niet: de bedreiging brand blijft een brand. De beheersingsmaatregelen van het mitigeren van bijvoorbeeld een brandrisico (brandblussers, sprinklerinstallatie, compartimentering) zijn statisch. Door de steeds evoluerende Modus Operandi van cybercriminelen verandert deze bedreiging continu en zeer snel. Daardoor is de beheersing van het cyberrisico nooit af. Ook de mkb-ondernemer moet hierin een strategische beslissing gaan nemen hoe hij met het cyberrisico omgaat.

Nulmeting

Het is zaak dat de ondernemer in kaart brengt hoe binnen het bedrijf gevoelige data kunnen lekken en via welke externe bewerkers (ICT-bedrijven / hosting / cloud / leveranciers) data kunnen lekken. De ondernemer kan inzicht krijgen hoe kwetsbaar zijn of haar bedrijf is door middel van een nulmeting. Een kijkje door de bril van een criminele hacker: waar zitten de kwetsbaarheden binnen mijn ICT-omgeving? En naast de technische review zal de ondernemer ook inzicht willen krijgen in de te nemen organisatorische maatregelen en in welke mate het gedrag van de medewerkers een risico vormt.

Cyber Risico Analyse


Technische oplossingen in het netwerk aanbrengen is niet afdoende als de medewerkers van een organisatie onveilig gedrag vertonen. Van belang is dat de ondernemer het cyberrisico breder benadert en vragen stelt zoals: hoe kunnen we dit risico beheersbaar maken voor ons bedrijf? Wat zijn onze kritische bedrijfsprocessen? Welke data hebben we en waar staan die allemaal? Wat staat ons te doen bij een cyberincident? Wat zijn de (nieuwe) wettelijke regels op het gebied van diefstal van privacygevoelige gegevens? Hoe groot is mijn reputatieschade na een publicatie in de krant over een hack van mijn bedrijf? Hebben mijn stakeholders nog het vertrouwen dat hun gegevens veilig zijn bij mijn bedrijf? Wat is ons worstcasescenario?

Cyberrisco’s zijn niet te onderschatten, wel in te schatten, te mitigeren en te verzekeren.

Wilt u hier meer over weten ga naar: 
www.cyco.nu of bel voor een persoonlijk gesprek: 085 – 203 20 72 «

Tekst: Robert van der Vossen // Fotografie: Marjon Zijlstra Fotografie