Cybersecurity: Alles beschermen onmogelijk

Dat zegt Björn Roskott, Senior Manager IT Advisory bij Grant Thornton in Nederland. Hij ziet cybercrime de laatste drie jaar hard groeien: “Inmiddels krijgt elk jaar één op de vier organisaties te maken met de gevolgen van cybercrime. En als u onderdeel bent van een logistieke keten is de kans groot dat u – of een ketenpartner – er nog eerder mee te maken krijgt. U kunt niet langer denken: ‘Bij mij is niets te halen.’ En u kunt zich ook niet langer onttrekken aan de mogelijke gevolgen voor uw dienstverlening en uw klanten. De vraag is niet langer of u een cyberincident overkomt, maar wanneer.”

Problemen ontstaan als er door een incident geen toegang meer is tot cruciale systemen. Roskott: “Zonder up-to-date managementinformatie, overzicht van de laatste marktprijzen, correcte magazijnstanden en actuele transportinformatie komt de continuïteit van bedrijfsprocessen in gevaar. En mogelijk ook die van ketenpartners. Deze zomer hebben we gezien hoe een ogenschijnlijk klein probleem – een verkeerde software-update – bij de Rotterdamse APM-containerterminal leidde tot een miljoenenschade in de keten. Een groot deel van de bedrijven in de Rotterdamse haven had dagenlang te kampen met een verstoorde bedrijfsvoering.”

Onduidelijkheid over databezit

Onderzoek van Grant Thornton toont aan dat minder dan tweederde (65 procent) van de organisaties stappen neemt om de data die ze bezitten volledig te doorgronden. De overige organisaties tasten volledig in het duister over de hoeveelheid data en hoeveel schade er is als deze data worden gestolen of de integriteit ter discussie wordt gesteld. Ruim eenderde (36 procent) van de organisaties past geen risicoprofiel toe op hun data. En meer dan driekwart van de organisaties (78 procent) werkt aan een basis voor cyberbeveiliging zonder specifieke maatregelen door te voeren ter bescherming van hun meest waardevolle data.

Weten organisaties niet wat voor data zij in hun bezit hebben of hoe belangrijk deze data zijn, dan verspillen ze mogelijk tijd en geld aan het beschermen van informatie met weinig waarde, terwijl hun meest essentiële informatie volledig is blootgesteld, zegt Roskott. “Veel organisaties beginnen aan de oplossingskant en richten zich op maatregelen in plaats van risico’s. Als ik maar genoeg firewalls neerzet, beveiligingspoortjes opstel en een slotgracht rond mijn pand graaf, is mijn informatie veilig. Denken vanuit risico’s is de grootste slag die organisaties kunnen en moeten maken.”

Focus

De cybersecurity-expert wijst op een bekend gezegde: ‘Alles beschermen is niets beschermen.’ Het is vrijwel onmogelijk om alle systemen af te schermen van hackers, dus is het belangrijk te focussen op die kleine hoeveelheid data waarvan bescherming van essentieel belang is, zegt Roskott: “Risicobestrijding kost geld en het heeft alleen rendement als je een risico weet te beperken tot een niveau dat voor de organisatie acceptabel is. Een risicoafweging is stap 1, het risico kwantificeren is stap 2 en dat is vaak erg moeilijk. Als een potentieel risico leidt tot een ton schade, heeft het geen zin om maatregelen te nemen die een half miljoen kosten. Doe die investering die maximaal je risico’s beperken.”

Drie adviezen

Hoe kunnen organisaties aan de slag om data risico’s effectiever te beheersen? Roskott geeft drie adviezen:

-“Allereerst adviseren wij om databeveiliging als een organisatiebreed risico te beschouwen, beheerst door het topmanagement en vervolgens geïmplementeerd door medewerkers op operationeel niveau.”

-“Ons tweede advies is om kennis van data een standaard onderdeel van iedere projectopzet te maken, waarbij multidisciplinaire teams overeenstemming bereiken over wat de grootste data-gerelateerde bedreigingen voor de organisatie zijn, wie in het geval van nieuwe data data-eigenaar wordt en aan welke privacy-verplichtingen (bijvoorbeeld het uitvoeren van een data protection impact assessment) moet worden voldaan.

-“Tot slot adviseren wij in te zetten op bewustwording onder medewerkers – communicatie van bovenaf of training – op een menselijk, niet-technisch niveau.”  

Hoe kunnen de bestuurders en managers van vandaag zich voorbereiden op data-, privacy- en cyberrisico’s en adequaat reageren als het toch mis gaat? Met die vraag in gedachten deed Grant Thornton onderzoek. Download het rapport 'Wat is de waarde van uw data?