HET ONDERSCHATTE VEILIGHEIDSPROBLEEM

Waarom cybersecurity ook cruciaal is voor ondernemers

Nieuwe technologieën, zoals het internet en mobiele apparaten, brengen ondernemers op veel vlakken veel gemak. Het gebruik daarvan brengt echter ook de nodige risico’s met zich mee. Terwijl veel organisaties op het gebied van bijvoorbeeld brandveiligheid goed zijn ingericht, is dat vaak niet het geval m.b.t. ICT en informatiestromen. In dit artikel wordt uitgelegd hoe een organisatie zich vrij eenvoudig kan wapenen tegen deze ‘nieuwe’ risico’s.

Bij het horen van de termen Cybercrime en cyberrisk denken de meeste ondernemers aan de IT-beveiliging. En dan meer speciaal aan de werking van een firewall of spamfilter. Het beveiligen van informatie gaat echter vele malen verder dan enkel de beveiliging van uw internetverbinding. Voor klassieke (hardcopy) informatie vinden we het zo gebruikelijk daar meerdere protocollen voor te handhaven dat we ons er niet eens meer van bewust zijn. Natuurlijk laten we belangrijke documenten niet zomaar ergens rondslingeren. Natuurlijk sluiten we aan het eind van onze werkdag ons gebouw af, zorgen we ervoor dat niet iedereen overal toegang toe heeft en laten we werknemers die werken met gevoelige informatie geheimhoudingsverklaringen ondertekenen. En dit is nog maar het topje van de ijsberg. Maar zodra het gaat over de totale informatiebeveiliging, dat wil zeggen zowel offline informatie als ook alle vormen van digitale informatie dan komen we inderdaad in de praktijk niet veel verder dan zachtjes het woord “firewall” te mompelen.

 

De Europese Overheid is zich er ernstig van bewust dat burgers, bedrijven maar ook overheden tegenwoordig meer dan ooit enorme risico’s lopen met betrekking tot hun informatie. Als we tegenwoordig een document verliezen, is de kans groot dat dit document via Twitter, Facebook en andere kanalen bij niet één maar duizenden bekend raakt. Het risico dat met het verlies gepaard gaat, is dan ook vele malen groter. En het risico is niet alleen beperkt tot het risico van het verlies van de data zelf, maar denk ook aan de reputatieschade die het met zich mee kan brengen, of de wettelijke verplichtingen die op ons rusten.

 

Een tweetal voorbeelden:

1) Een advocatenkantoor verliest een namens hun cliënt opgestelde brief. Het verlies van de brief zelf zal geen problemen opleveren, deze is namelijk in kopie nog wel aanwezig of opnieuw op te stellen. Het verlies van de brief brengt wel een enorme reputatieschade voor dat advocatenkantoor met zich mee en zo mogelijk ook (reputatie)schade voor de betrokken cliënt. Voor beiden geldt dat het risico dat iets dergelijks groot breed uitgemeten in de media komt of in de social media, is gigantisch. Daarnaast zal het advocatenkantoor hoogstwaarschijnlijk een boete tegemoet kunnen zien uit handhaving van de Wet Bescherming Persoonsgegevens.

2) Een zorgverlener gaat op pad met een Ipad met daarin 25.000 namen van cliënten. De Ipad wordt gestolen of raakt verloren. Het verlies van de Ipad of de data zal best meevallen. Een kopie zal op de server van het bedrijf staan. Maar ook hier is de reputatieschade gigantisch en wordt de privacy van de klanten enorm aangetast. Dit zal wederom leiden tot handhavingsboetes e.d. vanuit de privacywetgeving, maar er is ook een verplichting op de instelling om haar klanten mee te delen dat de gegevens op straat zijn komen te liggen. Stelt u zich eens voor welke kosten en wederom (reputatie)schade het met zich meebrengt als deze 25.000 zorgcliënten gaan bellen met de zorginstelling, de Overheid, politie of zelfs rechtstreeks met de media.

 

Het risico is voor een deel af te dekken door middel van een goede ICT-infrastructuur. Dit betreft echter maar een heel klein onderdeel van het totaal te nemen stappen. Er dienen heldere protocollen te komen voor de wijze waarop wordt omgegaan met (gevoelige) informatie en waarop wij dienen te voldoen aan diverse wettelijke verplichtingen zoals de privacywetgeving. Er zijn prachtige verzekeringsproducten in de markt die daarbij helpen, maar ook deze gaan uit van een minimale gestructureerde aanpak door het bedrijf van de wijze waarop zij omgaan met de informatiestromen. De echte risico’s zitten hem bijvoorbeeld in de wijze waarop wordt omgegaan met wachtwoorden, met ingehuurd personeel, met de manier waarop derden toegang verkrijgen tot informatie en onbekendheid met de juridische verplichtingen. Wist u bijvoorbeeld dat u een product als Dropbox niet mag gebruiken om privacygevoelige informatie op te slaan? Het betreft immers Amerikaanse programmatuur waarbij de Amerikaanse Overheid op grond van de Patriot Act mag meekijken met de data, terwijl onze Nederlandse overheid nu juist verbiedt dat wij data opslaan op een wijze dat andere overheden mee kunnen kijken.

 

Is het moeilijk te organiseren? Welnee. Belangrijk is dat middels vaste protocollen inzichtelijk wordt gemaakt welke risico’s er lopen zodat er in het geval van een echt dataverlies op simpel wijze voor handen is hoe te handelen. Denk daarbij aan het terugkrijgen van de data, het voorkomen van verdere (reputatie)schade, het (digitaal) blokkeren van het dataverlies etc. Rein heeft tezamen met de specialisten op het gebied van Insurance Management cursussen ontwikkeld waarbij uw personeel zelfstandig deze protocollen kan doorlopen en voor u een op maat gemaakte werkwijze kan creëren.

 

Meer informatie? Zie www.cursuscyberrisk.nl. Of mail/bel met ICT-rechtspecialist Jeroen Sprangers (sprangers@rein.nl | 0592-377067).

Ook interessant


Notice: Undefined offset: 0 in /srv/www/r/rein.nl/vhosts/www/htdocs/wp-content/themes/rein/partials/single/more-news.php on line 6

Notice: Trying to get property of non-object in /srv/www/r/rein.nl/vhosts/www/htdocs/wp-content/themes/rein/partials/single/more-news.php on line 6
KVK: 01140349 BTW-nummer: 801625439B01