Artikel in Members Magazine Q3 2015

1. Sebyde | Automatisering Sebyde | Automatisering
18 19
Cyberrisico’s: hoe zeker ben je?
I
n de moderne bedrijfsvoering maakt het management van
bedrijven regelmatig inschattingen over de risico’s waaraan
wordt blootgestaan. Afhankelijk van deze risico-inschatting
worden er dan zo nodig maatregelen getroffen. Er zijn dan de
volgende mogelijkheden:
• Je voorkomt het risico door preventief maatregelen te nemen;
• Je accepteert het risico;
• Je sluit een verzekering af om je tegen mogelijke schade te
verzekeren;
• Je lost het op door risico-verlagende maatregelen.
Het uitvoeren van een risicoanalyse is tegenwoordig vooral nodig
voor het inschatten van de risico’s op het gebied van cyber­
criminaliteit. Zoals we allemaal weten is cybercriminaliteit een
serieuze dreiging voor het bedrijfsleven. Aan de lopende band
worden netwerken van bedrijven door hackers besmet met
kwaadaardige software, waarna ze rustig op zoek gaan naar
belangrijke, vertrouwelijke en kostbare bedrijfsgegevens. Mede-
werkers van bedrijven worden bestookt met phishing emails om
ze te verleiden op een ‘interessante’ link, plaatje of document te
klikken, met alle nare gevolgen van dien. Die gevolgen kunnen
serieus zijn. Hackers richten zich tegenwoordig niet meer op
netwerken en systemen, maar op medewerkers. Bewuste mede-
werkers maken je organisatie weerbaar.
Veel bedrijven zijn zich niet bewust van de risico’s en mogelijke
­gevolgen van cybercriminaliteit. Bedrijven kunnen niet functio­
neren zonder hun bedrijfsinformatie. Het zijn de kroonjuwelen die
goed beschermd moeten worden. Je zou dus denken dat ieder
zichzelf respecterend bedrijf een goed beleid heeft opgesteld met
­betrekking tot de bescherming van die kroonjuwelen. Niets is
minder waar. Nog steeds blijkt 71% van de mkb-bedrijven te
denken dat ze geen cyberrisico lopen. Met argumentatie als ‘Het
zal wel loslopen, wat kunnen ze bij ons nou halen?’ of ‘We hebben
toch een goede firewall?’ denken ze dat het hen niet gebeurt. Voor
deze bedrijven is het een kwestie van tijd.
Bij een ‘normale’ inbraak zie je direct na de inbraak de inbraak-
sporen. Raam ingeslagen, deur opengebroken, kluis weg, kamer
overhoop gehaald, etcetera. Bij een digitale inbraak is dat niet het
geval. Het duurt gemiddeld meer dan 225 (!) dagen voordat
­hackers door hun slachtoffers worden opgemerkt. Gedurende die
tijd hebben de hackers rustig kunnen meekijken naar alle
­documenten, emails en andere informatiestromen op het
bedrijfsnetwerk. Met een goede informatiebeveiliging organisatie
en beleid kunnen deze risico’s echt worden geminimaliseerd.
Heb je wel een goed beleid?
IT-Security is meer dan alleen het aanleggen van een firewall. Een
goed beleid op het gebied van informatiebeveiliging is gestoeld op
drie belangrijke pijlers: ‘Mens, Organisatie en Techniek’.
Deze dienen alle drie ge-
adresseerd te worden, anders
blijft de organisatie kwets-
baar. Technische maatrege-
len alleen zijn on­voldoende
(antivirus, firewalls, etcetera)
als je medewerkers er maar
op los klikken op phishing
emails. Het advies aan be-
drijven is daarom om eens
een nulmeting te laten uit-
voeren. Dus niet alleen een
technische ‘penetratietest’ op
de security kwetsbaarheden
van netwerken, systemen en
applicaties, maar ook een be-
oordeling over hoe security
wordt meegenomen in de
organi­satie, de security-awa-
reness van de medewerkers
en de gevoeligheid van de organisatie voor phishing emails. Pas
als je over deze informatie beschikt, kun je een goede inschat-
ting maken van de risico’s die worden gelopen en kun je de
juiste maatregelen nemen om die risico’s te minimaliseren.
Nieuwe privacy wetgeving: laat een nulmeting uitvoeren
De recente verandering in de privacy wetgeving heeft grote ge-
volgen voor het bedrijfsleven. (Ja, voor alle bedrijven.) De meld-
plicht voor datalekken dwingt bedrijven om gedetailleerd inzicht
te hebben in de gegevensverwerkingen in hun organisatie. Deze
­informatie en andere informatie over een datalek dient binnen
24 uur beschikbaar te zijn voor de toezichthouder in geval er
een datalek optreedt. Deze wetgeving wordt gehandhaafd met
hoge (bestuurlijke) boetes tot 810.000 euro of in sommige
gevallen 10% van de jaaromzet. Een nulmeting over de
gegevensver­werkingen in de organisatie en een beoordeling
door onze FG (Functionaris Gegevensbescherming) is daarom
aan te raden om straks hoge boetes te voorkomen. Voorberei-
ding is van groot belang. Tevens is er ook een nieuwe Europese
wetgeving aan­gekondigd (AVG), die nog strengere eisen gaat
stellen aan het te voeren beleid op het gebied van informatie­
beveiliging en privacy.
Privacy is geen ICT-feestje
Er wordt vaak gedacht dat de nieuwe privacywetgeving iets is
waar alleen de ICT-afdeling mee te maken gaat krijgen Dit berust
echter op een misverstand. De nieuwe wetgeving ‘raakt’ direct
een aantal disciplines in de organisatie, waaronder de Directie/
Financieel management (goedkeuring jaarrekening, boetes,
aansprakelijkheid), Personeelszaken (veilig gedrag van mede­
werkers), Marketing & Communicatie (reputatie, wat te doen bij
een datalek?). Het is zéker geen ICT-feestje.
Het Sebyde Privacy Impact Programma ondersteunt bedrijven
bij de voorbereiding op de nieuwe privacy wetgeving. Het is
een modulair opgezet programma en bestaat uit de volgende
stappen:
1. Nulmeting (hoe staan we er voor?)
2. Analyse (wat en waar zijn de risico’s?)
3. Maatregel (wat kunnen we doen?)
4. Rapport (wat gaan we doen?)
5. Invoering (maatregelen treffen)
Sebyde is graag bereid om je vrijblijvend op de hoogte te brengen
van de laatste ontwikkelingen met betrekking tot de Nederlandse
en Europese Privacy wetgeving.
Je kunt op de website van Sebyde meer informatie vinden over
hoe Sebyde organisaties ondersteunt bij het maken van een goed
beleid op het gebied van informatiebeveiliging en privacy en het
vergroten van het bewustzijn van je medewerkers.
Voor info: ga naar de website van je branchevereniging, via
Members’ Benefits (ledenvoordeel), tab Automatisering
Maak kans op een gratis workshop ‘Phishing’
Vraag via info@sebyde.nl een vrijblijvende presentatie
aan over de ontwikkelingen in de privacy wetgeving. Je
maakt dan kans op een gratis workshop ‘Phishing’ voor
twee personen. Tijdens deze workshop leggen we uit
wat phishing technieken zijn, hoe je phishing emails
kunt herkennen en wat je moet doen als je er één
ontvangt.