Netherlands

Cybersecurity is een verantwoordelijkheid van iedereen

 

“We zien dat de bewustwording over cyber groeit binnen bedrijven en organisaties, maar echt actie ondernemen is makkelijker gezegd dan gedaan”. Aan het woord is Ralf Willems, Managing Consultant Cyber Solutions bij Aon. “We zien bij veel bedrijven dat ze moeite hebben om de stap te zetten van risicobewustzijn naar concrete actie.”

Risico-assessment en risicobereidheid

Om de juiste beslissingen over cyber te nemen, is allereerst inzicht nodig. Inzicht in de risico’s die bedrijven lopen, en de mogelijke impact ervan op de continuïteit van de organisatie. Daarom is een risico-assessment een logische start, een inventarisatie van de risico’s. Ook belangrijk is om de eigen risicobereidheid (risk appetite) vast te stellen; hoeveel risico is een organisatie bereid te nemen? “Pas wanneer je je risico’s kent en weet in hoeverre je ze zelf kunt dragen, neem je onderbouwde beslissingen over investeringen”, vertelt Ralf. “Investeringen in preventieve maatregelen en verzekeringen moeten passen bij het bedrijf, anders zijn ze waardeloos op het moment dat het erop aankomt”.

Iedereen kijkt anders naar cyber

Om een volledig beeld van risico’s te krijgen binnen een organisatie, is het verstandig alle afdelingen te raadplegen. Cyber heeft immers invloed op het hele bedrijf. Iedere afdeling heeft zijn eigen invalshoek en geeft verschillende inzichten. Een IT-medewerker benadert het probleem wellicht vanuit de techniek, waar een salesmedewerker vooral denkt aan de beloftes die hij heeft gemaakt aan klanten. Cyberveiligheid heeft vooral met mensen te maken, dus HR wil weten wat er verwacht wordt van medewerkers en wat dit betekent voor werving. “Daarnaast raad ik bedrijven aan om ook buiten de muren van de eigen organisatie te kijken”, vertelt Ralf. “Een incident binnen een bedrijf heeft vaak gevolgen verderop in de keten. Sta hier dus bij stil: Welk effect heeft een incident bij ons op onze klanten en leveranciers?”

Iedereen is verantwoordelijk

Zoals bij zoveel risico’s geldt: je voelt de impact pas wanneer het te laat is, wanneer je schade hebt. Zeker bij cyber omdat deze risico’s niet tastbaar zijn en daarom makkelijker te negeren. “En dat is gevaarlijk”, zegt Ralf. “Een probleem dat wij in de praktijk vaak zien, is dat besluitvorming traag en moeizaam verloopt. Beslissingen worden uitgesteld, waardoor de organisatie steeds kwetsbaarder wordt”. Gelukkig zijn steeds meer organisaties zich ervan bewust dat het belangrijk is om op tijd actie te ondernemen en niet pas wanneer het te laat is. Cybersecurity is een verantwoordelijkheid van iedereen, niet alleen van de securitymanager. De directie heeft een belangrijke rol bij cyber. Niet alleen voor het bepalen van het budget, maar vooral als sponsor. De directie moet ervoor zorgen dat mensen in actie kunnen komen waar en wanneer dat nodig is.

De rol van de directie, en andere cyberinzichten, bespraken wij eerder in ons webinar. U kunt het hier terugkijken.