Netherlands

Loading

Kijken, kijken, niet kopen!?

Blog

De digitale veiligheid in Nederland staat steeds verder onder druk. Beroepscriminelen en vijandige staten vormen een groeiende bedreiging, zo blijkt uit het jaarlijkse Cybersecuritybeeld Nederland dat onlangs bekend werd. Cybercriminelen halen vaak het nieuws, maar vertegenwoordigen nog niet de helft van het probleem. Meer dan de helft (60%) van de cyberincidenten is het gevolg van menselijke fouten en systeem-falen.

Genoegzaam bekend dus deze cyber risico’s. Toch ziet niet iedereen de noodzaak om hier actief mee aan de slag te gaan. Hoe komt dat? Geregeld ga ik op uitnodiging bij organisaties langs om over cyberrisico’s te praten. Zo’n gesprek is doorgaans kort als de organisatie al een cyberincident heeft meegemaakt. Zij kennen de gevolgen en sluiten liefst dezelfde dag nog een cyberverzekering af. Er zijn ook organisaties die omwille van hun relaties of bestuurdersaansprakelijkheid de verplichting voelen om een cyberverzekering te nemen.

Daar dringt de cyberverzekering zich dus min of meer op. De meeste organisaties zijn nog in de oriënterende fase op het moment dat ik of een van mijn collega’s langskomt.

Zichtbare en verborgen kosten
ICT’ers zijn gefocust op de technische security issues, riskmanagers met het schrijven van (strategische) risk management plannen. Mensen op C-level zijn zich vaak zeer bewust van de impact van cyberrisico’s, maar vinden het nog moeilijk om die impact te kwantificeren. Hoe werkt een cyberincident door op de balans?

Gelukkig worden ik en mijn collega’s steeds vaker ingezet om een cyber impact analyse te verrichten. Daarbij rekenen we verschillende scenario’s door om inzichtelijk te krijgen hoe groot de (financiële) impact kan zijn. De resultaten leggen we naast waarden als risk appetite, risk bearing capacity en een cyberpolis. Zo kunnen bedrijven gefundeerd beslissen hoe zij hun cyberrisico’s willen managen.

Struisvogelpolitiek
Soms merk ik dat de beslissing omtrent dit traject erg lang op zich laat wachten terwijl de noodzaak evident is of toch moet zijn bij de directie. Uiteraard gaat een en ander gepaard met soms stevige investeringen. Toch kan ik mij niet aan de indruk onttrekken dat de BV Nederland in meer of mindere mate doet aan struisvogelpolitiek. Van meerdere ICT managers heb ik al vernomen dat zij heel graag inzicht zouden willen krijgen in de exacte kosten gemoeid met een cyber incident, omdat ze sterk vermoeden dat deze kosten erg hoog zijn en veel niet zichtbaar voor een ieder. Echter, zo geven ze aan, waar je geen weet van hebt, daar hoef je ook niets aan te doen.

Met dit soort struisvogelpolitiek snijden organisaties zichzelf vroeg of laat in de vingers.

Je kop in het zand steken is nooit de juiste beslissing. ‘Kijken, kijken en niet kopen’ werkt alleen als je je goed laat informeren door de juiste stakeholders binnen en buiten je organisatie.

Stel jezelf de volgende vragen:

  • Wat zijn de belangrijkste digitale assets van mijn organisatie?
  • Welke specifieke (informatie)risico’s bedreigen onze digitale assets?
  • Wat zijn de belangrijkste (informatie)risico’s voor onze organisatie?
  • Wat is de potentiële (financiële) schade?
  • In hoeverre zijn wij in staat en bereid om de impact van een incident te beperken?
Heb je een antwoord op deze vragen, dan kun je een goede afweging maken wat te doen. Zo gaan we van focus op ICT-veiligheid alleen naar integraal impact management. En van een abstracte dreiging naar een afgewogen aanpak.