Praktische cyber vragen die u kunt stellen binnen uw organisatie

Het is lastig om vast te stellen hoe vatbaar uw organisatie is voor de risico’s die voortvloeien uit het gebruik van ICT-netwerken en applicaties. En wat er precies mis kan gaan. Wat is de financiële impact van de ‘worst case’-scenario’s voor uw organisatie en wat kunt u zelf doen om die impact te beperken?

Om u op weg te helpen, hebben wij hieronder enkele vragen opgenomen die u intern kunt gebruiken. De antwoorden op deze vragen geven u inzicht en draagvlak, zodat u gericht stappen kunt zetten ter verdere verbetering van uw risicobeheersing.

Vijf praktische vragen aan uw hoofd juridische zaken:

1. Wat hebben wij afgesproken met onze klanten en leveranciers in geval van een cyberincident?
2. Hoe groot kan de organisatieschade zijn door ICT-uitval en/of datadiefstal?
3. Welk deel daarvan kunnen wij terugvorderen bij onze leverancier(s)? Onder welke voorwaarden?
4. Voor welk deel kunnen wij aansprakelijk worden gehouden, en wat is daarvan de verwachte omvang?
5. Welke wettelijke regelingen en contractuele bepalingen liggen hieraan ten grondslag? Voldeed onze organisatie aan haar verplichtingen en waar/hoe is dit vastgelegd?

Vijf praktische vragen aan uw risico- en verzekeringsmanager:

1. In hoeverre voorziet ons huidige verzekeringsprogramma in de werkelijke cyberrisico’s?
2. Waar zitten de gaten en in welke mate betreft dit verzekerbare risico’s?
3. Zijn dit risico’s die de organisatie zelf kan/wil dragen? Hoe verhouden deze zich tot de risicotoleranties en het financiële draagvermogen?
4. Hoe ziet ons ideale verzekeringsprogramma eruit, en wat zijn daarvan de kosten en voorwaarden?
5. Is risico-overdracht een zinvolle en kosteneffectieve aanvulling op onze totale set aan beheersmaatregelen?

Vijf praktische vragen aan uw financieel bestuurder:

1. Hebben wij een actueel en volledig beeld van onze belangrijkste risico’s (bijvoorbeeld risico-register)?
2. Kennen wij de bestaande beheersmaatregelen en risico-eigenaren?
3. Hoe verhoudt de verwachte en/of maximale schade door cyberrisico’s zich tot onze risico-toleranties?
4. Hoe verhoudt dit risico zich tot onze financiële kernratio’s en financiële draagvermogen?
5. Wat is financieel gezien de meest effectieve beheersmaatregel voor onze cyberrisico’s?

Vijf praktische vragen aan uw ICT-manager:

1. Wat zijn voor onze totale organisatie de kosten van een datalek, systeemuitval of een hack?
2. Welke gegevens zijn voor kwaadwillenden interessant en waarom?
3. Waarom zijn wij goed beveiligd? En hoe zijn wij voorbereid op een incident?
4. Hebben wij passende beheersmaatregelen getroffen? Waaruit blijkt dit?
5. Wat is de verantwoordelijkheid en bevoegdheid van de interne ICT-afdeling met betrekking tot cyberincidenten?

Wilt u meer weten over cyberrisico’s en wat u daaraan kunt doen? Lees ook:

• Bestuurders aansprakelijk bij cyberincicent?
• De meest geavanceerde systemen worden gehackt. Heeft beschermen dan wel zin?
• Whitepaper: Cyberrisicomanagement in 2018