Cyberrisico’s beheersen doe je met de hele organisatie
Dat cybersecurity steeds belangrijker is voor organisaties hoeven we niet meer uit te leggen. Toch hebben veel bedrijven cyber nog niet in hun integrale risico-aanpak opgenomen. Mark Bouman (Cyber Risk & Strategy Consultant) en Larissa Kalle (Cyber Risk Consultant) vertellen wat zij en hun collega’s van Aon’s Cyber Solutions in de praktijk tegenkomen.
Ervaringen uitwisselen
Larissa: “Voor steeds meer organisaties is cyber een belangrijk bedrijfsrisico. Toch zien we vaak nog dat vooral de security professionals zich ermee bezighouden. Maar eigenlijk moet het binnen de hele organisatie aandacht krijgen, ook vanuit het bestuur. De mensen die binnen de verschillende bedrijfsonderdelen verantwoordelijk zijn voor risico’s moeten regelmatig met elkaar in gesprek gaan. Als zij ervaringen uitwisselen en elkaar kritische vragen stellen, krijg je nieuwe inzichten en breng je samen alle risico’s goed in beeld.”
Alle afdelingen betrekken
Mark vult aan: “We zien dat veel bedrijven nog geen integrale cyberrisico-aanpak hebben. Terwijl cybercrime net zo goed het voortbestaan van de organisatie kan bedreigen als andere risico’s. Cyber zit namelijk in meer onderdelen van je bedrijf dan je misschien denkt. Daarbij wil je zeker weten dat iedereen die een rol heeft bij cyberrisico’s er ook echt bij betrokken is Zo moet je als Juridische Zaken aangehaakt zijn voor het geval je aansprakelijk wordt gesteld na een cyberincident. En Marketing en communicatie moet de klanten en eventueel de bredere buitenwereld informeren als zich een incident heeft voorgedaan.”
Inzicht en begrip creëren
Vaak zie je ook dat de verschillende onderdelen binnen een bedrijf elkaars taal niet spreken. Terwijl je alleen passende maatregelen voor een organisatie kunt doorvoeren als je een gezamenlijk draagvlak hebt. Mark: “Omdat wij de taal van alle partijen spreken, zijn wij regelmatig de ‘vertaler’ tussen IT en de rest van de organisatie. Je ziet nogal eens dat IT, met alle goede bedoelingen, maatregelen doorvoert die in de praktijk minder werkbaar zijn. Het risico daarvan is dat medewerkers een eigen creatieve werkwijze bedenken die wel werkt, maar minder veilig is. Dat doen ze om de klant beter of sneller te helpen, maar ze overzien vaak niet wat de risico’s zijn voor hun eigen bedrijf. Door de verschillende groepen binnen een bedrijf met elkaar in gesprek te brengen, proberen we over en weer inzicht te geven en begrip te creëren. Daarna kunnen ze samen aan een langetermijnoplossing werken die niet alleen goed is, maar in de praktijk ook werkt.”
Schade beperken
Larissa voegt daaraan toe: “Je moet continu in gesprek blijven, want cyberdreigingen veranderen. Het is niet meer de vraag óf je als bedrijf wordt geraakt, maar wanneer. Preventie is dus niet meer het enige waar organisaties mee bezig moeten zijn. Je moet ook zorgen dat je een aanval op tijd herkent. En weten wat je moet doen als je met een incident te maken krijgt. Als alle afdelingen binnen de organisatie goed en snel samenwerken, kun je de schade aanzienlijk beperken. Niet alleen de financiële schade trouwens, ook reputatieschade bijvoorbeeld.”
Rol van de medewerker
De rol van de medewerker moet daarbij niet vergeten worden. Mark: “Zij onderschatten zelf vaak hoe belangrijk ze zijn voor de informatiebeveiliging. Het kan technisch wel goed geregeld zijn, maar als je mensen niet weten wat de risico’s zijn en wat hun eigen rol daarbij is, kun je wachten tot het misgaat. Dat zagen we bijvoorbeeld tijdens een phishing-test bij klanten. We stuurden een e-mail rond met een namaak password checker, waarmee je zogenaamd kon controleren hoe sterk je wachtwoord is. Sommige medewerkers hebben wel zes of zeven wachtwoorden gecontroleerd. Dat is niet erg en ze hoeven zich daar ook echt niet voor te schamen. Maar je ziet wel dat we nog veel kunnen winnen als het gaat om bewustwording. Natuurlijk hoeven niet al je medewerkers cyberexperts te zijn. Maar je wilt ze wel de kans geven om tenminste de basiskennis te hebben en te kunnen toepassen.”
Cultuur is belangrijk
Larissa: “Het is belangrijk om cyberbewustzijn positief te benaderen. Als je het op een leuke manier brengt voelen medewerkers zich betrokken. Daarnaast is ook de cultuur in het bedrijf heel belangrijk. Als je je baan kunt verliezen wanneer je toegeeft dat je op een verkeerde link hebt geklikt, laat je het wel uit je hoofd om dat melden. Voel je je juist veilig binnen de organisatie, dan deel je het veel makkelijker. En dat is heel belangrijk, zeker als een security-afdeling snel moet handelen om de schade bij zo’n incident te beperken.”
Samenwerking is essentieel
Niet alleen de interne samenwerking bij de klant is belangrijk. Mark: “Binnen Aon werken we ook intensief samen om onze klanten zo goed mogelijk te bedienen. De accountmanager heeft daarin een belangrijke rol. Die ziet ontwikkelingen of gebeurtenissen bij een klant en seint de specialisten in die de klant eventueel kunnen helpen. En dat geldt net zo goed voor de specialisten onderling. Als wij bij een klant aan de slag zijn en we merken dat er bijvoorbeeld een bredere continuïteits-, compliance- of andere risicomanagementvraag is dan schakelen we met de experts binnen onze afdeling AGRC & COT. Net zoals zij andersom contact met ons opnemen als ze denken dat wij de klant kunnen helpen met onze cyberoplossingen. Zo kunnen we onze klanten op de beste manier bedienen en informeren.”