Acht digitale risicogebieden die je moet beheersen
Connectiviteit is niet meer weg te denken uit onze samenleving. Cyberrisico’s vormen daarom een steeds grotere dreiging. Hoewel digitale dreigingen overal en voor iedere organisatie anders zijn, kunnen we acht belangrijke risicogebieden onderscheiden.
Connectiviteit bepaalt ons leven
Van smartphones tot slimme woningen met apps voor de thermostaat, deurbel en zélfs de koelkast: connectiviteit bepaalt in steeds grotere mate hoe we leven, werken en zakendoen. En door deze toegenomen connectiviteit worden we ook in ons dagelijks leven thuis geconfronteerd met steeds complexere cyberrisico's. Het op de hoogte blijven én bestrijden van de zich continu ontwikkelende cyberrisico’s is een van de grootste uitdagingen waar organisaties in 2019 mee worden geconfronteerd.
Hoewel de digitale dreigingen voor iedere organisatie anders zijn, zijn er acht belangrijke risicogebieden waar bedrijven rekening mee moeten houden: technologie, toeleveringsketen, Internet of Things (IoT), bedrijfsvoering, medewerkers, fusies en overnames, regelgeving en Raad van Bestuur.
Technologie biedt kansen, maar leidt ook tot risico's
Elk bedrijf is tegenwoordig, bewust of onbewust, een technologisch bedrijf. Simpelweg vanwege de manier waarop men technologie inzet om het bedrijf verder te ontwikkelen. Nu steeds meer organisaties de digitale transformatie omarmen, is het van belang dat leiders de risico’s die horen bij deze transformatie begrijpen en maatregelen nemen om deze risico's te beheersen.
Een derde partij als 'achterdeur' voor cybercriminelen: de toeleveringsketen als zwakke schakel
Omdat de toeleveringsketen steeds complexer wordt en bedrijven steeds afhankelijker zijn van andere partijen, vormen cyberrisico's in de toeleveringsketen een steeds grotere bedreiging. Een verstoring van de toeleveringsketen, ongeacht wiens schuld dit is, kan ernstige gevolgen hebben voor de bedrijfsvoeren en omzet.
Uit een onderzoek van het Ponemon Institute uit 2018 blijkt dat 59% van de bedrijven in de Verenigde Staten en het Verenigd Koninkrijk te maken heeft gekregen met een datalek door een derde partij.
Connectiviteit speelt een steeds grotere rol in de toeleveringsketen. Organisaties en bedrijven moeten daarom kritisch kijken naar de zwakke plekken in hun keten. Het gaat niet alleen meer om een 'digitale' dreiging; de bedrijfsvoering in zijn algemeenheid loopt gevaar en digitalisering speelt daarbij een rol.
Het onbekende beheersen: een stijging in het aantal verbonden apparaten
IoT speelt een steeds grotere rol in de samenleving. Dit betekent dat elk verbonden apparaat een potentieel veiligheidsrisico vormt. De meeste bedrijven houden niet of onvoldoende bij hoeveel IoT-apparaten zich binnen de organisatie bevinden. Uit een ander onderzoek van Ponemon uit 2018 blijkt dat 21% van de bedrijven het afgelopen jaar is getroffen door een cyberaanval via onbeveiligde IoT-apparaten. Uit dit onderzoek blijkt ook dat 38% van de organisaties die het aantal eigen IoT- apparaten registreert, dacht dat in hun organisatie ongeveer 1.000 IoT-apparaten aanwezig waren. Het gemiddeld aantal apparaten bij de onderzochte bedrijven lag echter op meer dan 15.000.
Voorbereiden op een verstoring van de bedrijfsactiviteiten: de bedrijfsvoering loopt risico
Hoewel bedrijven met behulp van technologie hun operationele efficiëntie kunnen verbeteren, neemt het risico op een verstoring van de bedrijfsactiviteiten door malware, ransomware en andere digitale bedreigingen ook toe. Aanvallers kunnen zich gemakkelijker lateraal door een heel netwerk bewegen. De zoektocht naar een verbeterde connectiviteit – en de bijbehorende risico's – beperkt zich niet alleen tot de private sector. Steeds meer lokale en nationale overheden richten zich op het ontwikkelen van slimme steden. Dit betekent dat nieuwe infrastructuur tegenwoordig zo moet worden ingericht dat deze bestand is tegen cyberaanvallen en dat bestaande infrastructuur moet worden vernieuwd.
Medewerkers vormen - bewust of onbewust - een groot risico voor de cyberveiligheid
Medewerkers vormen een van de grootste bedreigingen voor de cyberveiligheid binnen bedrijven, of dat nu vanwege kwade opzet, menselijke fouten of onachtzaamheid is. Uit het rapport over interne bedreigingen van Cybersecurity Insiders uit 2018 blijkt dat 53% van de onderzochte bedrijven het afgelopen jaar te maken heeft gehad met een cyberaanval waarbij een of meerdere medewerkers betrokken waren. Van deze bedrijven maakt de ene helft zich meer zorgen over medewerkers die per ongeluk het bedrijf blootstellen aan cyberrisico's terwijl de andere helft zich meer zorgen maakt over medewerkers die de organisatie bewust in gevaar brengen. Het is van essentieel belang dat bedrijven een allesomvattende aanpak kiezen om risico's van binnenuit te beheersen, onder andere door gegevens beter te beheren, richtlijnen op het gebied van cyberveiligheid binnen de gehele organisatie te communiceren en door effectieve maatregelen voor de toegang tot en bescherming van gegevens te implementeren.
Gevolgen voor onderhandelingen: de impact van cyberrisico's op fusies en overnames
Fusies en overnames creëren nieuwe mogelijkheden, maar brengen ook potentiële cyberrisico's met zich mee die de waarde van een deal negatief kunnen beïnvloeden. Hoewel bedrijven zelf misschien een effectieve aanpak hebben om de cyberrisico's binnen hun bedrijf te beheersen, kunnen ze nooit zeker weten of overgenomen bedrijven dat ook hebben. Onderhandelaars moeten daarom een strategie opstellen om goed met deze steeds groeiende uitdaging om te gaan.
Risico’s op het gebied van regelgeving steeds belangrijker element van cyberveiligheid
De Algemene verordening gegevensbescherming (AVG) van de EU onderstreept dat er steeds meer richtlijnen worden opgesteld en maatregelen worden genomen om de gegevens van consumenten te beschermen. De toenemende regelgeving heeft als doel om organisaties en hun belangrijkste bestuurders en commissies verantwoordelijk te houden voor de bescherming van consumentengegevens. Dit wordt een steeds grotere uitdaging voor bedrijven overal ter wereld, maar met name voor multinationals die zich moeten houden aan diverse internationale wetten en regels.
Naarmate de cyberrisico's toenemen, nemen ook de persoonlijke risico's toe
Bestuursleden maken zich steeds meer zorgen over cyberdreigingen. Dit komt enerzijds vanwege de risico's die de organisatie loopt en anderzijds vanwege de persoonlijke risico's. Er zijn zelfs al meerdere rechtszaken aangespannen tegen directeuren in navolging van diverse opvallende cyberaanvallen waarbij vertrouwelijke gegevens zijn uitgelekt. De verwachting is dat deze trend zal doorzetten. Directeuren en functionarissen worden bovendien geconfronteerd met de wettelijke aansprakelijkheid als gevolg van de nieuwe richtlijnen op het gebied van cyberveiligheid. Met het oog op deze persoonlijke risico's zetten steeds meer bestuurders zich actief in om cyberrisico's binnen de organisatie te beheersen. Bij veel organisaties is er echter nog veel werk aan de winkel, bijvoorbeeld door budget voor cyberveiligheid vrij te maken.