Vrijwel alle vitale processen en diensten binnen een organisatie zijn volledig afhankelijk van ICT. Wat als daar iets mee gebeurt? We vroegen aan Werner Alsemgeest, ethisch hacker en manager Cyber Risk Services bij Grant Thornton, hoe je hier als toezichthouder op kunt anticiperen.
“Mensen onderschatten het probleem vaak”, vertelt Werner Alsemgeest. “Terwijl de kans groter is dat het je wel overkomt dan niet. Men zorgt er wel voor dat de basismaatregelen voor veiligheid fysiek goed op orde zijn. Denk aan camera’s en goede sloten. Maar digitaal is het vaak nog niet op orde. Maar liefst 66 procent van de grote bedrijven heeft wel eens een cybersecurity-incident gemeld, zo blijkt uit de Cybersecurity-monitor 2019 van het CBS. Voor 34 procent van hen ging dat gepaard met hoge kosten. En maar liefst 29 procent van de grote bedrijven melden cybersecurity-incidenten door een aanval van buitenaf.
Dat zijn serieuze getallen. Je kunt het maar beter vóór zijn, want voorkomen is beter dan genezen. Als straks al jouw data op straat liggen, kan dat tot hoge boetes leiden, grote reputatieschade en verlies aan klanten.”
“Als je ervoor zorgt dat de basis op orde is, voorkom je eigenlijk al de meeste ellende.
Dit betekent dat er aan vier zaken gedacht moet worden. Dit kun je als toezichthouder natuurlijk niet zelf. Vraag hier daarom op door, en zorg ervoor dat binnen jouw organisatie aan alle vier de punten wordt gedacht. Want uiteindelijk ben jij wel medeverantwoordelijk.”
“Veel bedrijven hebben een extern bedrijf die voor hen de ICT en hopelijk de cybersecurity regelt. Zij komen vaak met een mooi verhaal over hoe alles dik in orde is.
Zorg er dan toch voor dat je inzicht hebt in de risico’s. De externe partij is niet verantwoordelijk voor jouw data. Dat ben je zelf, jij houdt daar toezicht op. Vraag door op bovenstaande vier punten en zorg ervoor dat je er echt van overtuigd bent dat het goed geregeld is.”
“Wil je laagdrempelig een indicatie krijgen van hoe goed je basis op orde is? Dan kun je online een test vanuit de overheid doen. Deze vind je op: Rijksoverheid Basisscan Cyberweerbaarheid.
Maak ‘m gewoon met elkaar binnen de raad. Het kost je een kwartier, en daarna krijg je middels een rapport heel goed inzicht in hoe het ervoor staat binnen de organisatie. Dat kan aanleiding geven om tot actie over te gaan en zeker ook een gevoel van rust geven.”
“Wil je als organisatie cyberweerbaar zijn? Dan moet niet alleen je ICT op orde zijn. Veiligheid is iets waar iedereen binnen de organisatie zich bewust van moet zijn. Zodat mensen geen gevoelige gegevens laten slingeren, ze sterke wachtwoorden kiezen en dat ze hun mobiele telefoon beschermen met een lockscreen en antivirus.
Heel veel kun je gelukkig zelf al oplossen. En wordt het te complex, dan kun je altijd nog een externe specialist laten komen om voor jou de cybersecurity te checken.”
Alle artikelen