Dat het bedrijfsleven, de zorgsector, de overheid, het onderwijs, kortom onze hele samenleving in ernstige mate afhankelijk is van ICT weten we allemaal. Dat die afhankelijkheid tegelijkertijd een kwetsbaarheid met zich meebrengt wordt vooral veroorzaakt door de dreiging van cybercriminaliteit. Zonder de juiste aandacht en voorzorgsmaatregelen kan die dreiging leiden tot verstoring van continuïteit en persoonlijke, financiële of reputatie schade. Deze schade kan dermate groot zijn, dat het voortbestaan van de organisatie of delen ervan bedreigd wordt. Om in een dergelijke risicovolle context te kunnen blijven opereren hebben veel grote organisaties al de nodige maatregelen genomen, maar moeten ook kleinere en middelgrote organisaties het onderwerp cyber weerbaarheid serieus nemen. Zowel de data als de applicaties die de data verwerken, moeten zodanig beschermd worden, dat de cybercriminelen er geen grip op kunnen krijgen. Maar ook de medewerkers die met die data en applicaties werken moeten zich bewust zijn van de dreigingen en de risico’s. Dit betekent niet alleen veel aandacht voor cyber weerbaarheid vanuit de ICT afdeling, maar ook vanuit alle andere onderdelen van de organisatie en in het bijzonder vanuit het management. Voor veel kleinere en middelgrote organisaties blijft cybercriminaliteit een dermate ingewikkeld en ongrijpbaar onderwerp, dat ook nog eens veel kosten met zich meebrengt, dat het management het onderwerp het liefst onderbrengt bij de CIO of de CISO. Daarmee kan het van de agenda op de bestuurstafel af. Maar daarmee is de dreiging van cybercriminaliteit absoluut nog niet afgewend. Want de risico’s zitten ook bij gebruikers die data opslaan op oneigenlijke plekken of data versturen die eigenlijk de organisatie niet mag verlaten of onzorgvuldig met hun passwords omspringen of onoplettend reageren op e-mail berichten die schijnbaar legitiem verstuurd worden of medewerkers met specifieke machtigingen die ze niet nodig hebben of….. Deze lijst met risico’s is verre van uitputtend en verandert ook nog eens in de tijd. Daarnaast is het ook van belang te beseffen, dat niet in alle kleinere en middelgrote organisaties de rolverdeling en de rolinvulling van de CIO en CISO ten aanzien van het mitigeren van de risico’s optimaal is. Soms rapporteert de CISO aan de CIO of is de rol gecombineerd of heeft de CISO een adviesrol aan de zijlijn, aan het einde van de veranderprocessen. Ook worden de verschillende verantwoordelijkheden ten aanzien van het vermijden van risico’s wisselend ingevuld. Een typisch voorbeeld hiervan is het vulnerability management: het consequent repareren van de zwakheden in de gehanteerde systeem- of applicatiesoftware. Dat werkt vanuit de aanbevelingen en security patches van de leveranciers ervan en door zicht te houden op de databases met gepubliceerde zero-day bedreigingen. En de discipline hebben en houden om de geconstateerde risico’s ook daadwerkelijke te vermijden door stelselmatig en tijdig de noodzakelijke updates van de software aan te brengen. Een ander voorbeeld is de aandacht die er ook moet zijn voor de staat van de cyber weerbaarheid bij leveranciers en soms zelfs bij klanten. Zeker de gebreken in de cyber weerbaarheid van software leveranciers heeft in het verleden tot aanzienlijke schade geleid. De afnemers van de software van derden moeten derhalve ook aandacht besteden aan de maatregelen die de leveranciers ervan genomen hebben.
Kortom een organisatie die niet geraakt wil worden door de mogelijk dramatische gevolgen van cybercriminaliteit, moet het onderwerp op vele fronten consequent en stelselmatig aandacht schenken. Ook de kleinere en middelgrote organisaties. Het is een onderwerp dat het succes en soms zelfs het voortbestaan van de organisatie kan beïnvloeden. Dus een onderwerp voor de bestuurstafel. Waar naast een degelijk financieel beleid, met een bijbehorende organisatie en rapportage, ook het cybersecurity beleid, organisatie en rapportages stelselmatig aan de orde komen. Het is niet voor niets dat de normenkaders die recent geïntroduceerd zijn (NIS2, DORA) hierop hameren. Maar in de praktijk wordt het onderwerp nog steeds niet bij alle kleinere of middelgrote organisaties als Chefsache behandeld. Opvallend is dat een organisatie als Microsoft vrij recent ook de aandacht van haar managers cyber weerbaarheid als primair onderdeel van de beloningsstructuur heeft gemaakt. ‘Security first’ in alle gevallen waarin afwegingen gemaakt moeten worden.
Kortom het advies is duidelijk: maak van cyber weerbaarheid Chefsache of je organisatie nou groot is of klein is. Cyber weerbaarheid is een onderwerp voor de bestuurstafel!
Fout: Contact formulier niet gevonden.