Tag: procedurele maatregelen

CFO’s bang voor reputatieschade door cybercrime

  door

Na het bericht over het aanstellen van CISO’s in grote bedrijven en het feit dat wij, als informatiebeveiligers, ons best moeten doen om aansluiting te vinden bij het top management van de organisatie gaan we daar vandaag verder op in.

Nederlandse CFO’s geven de computerbeveiliging van hun bedrijf gemiddeld een 6,8. Dat blijkt uit onderzoek van Deloitte. CFO’s zijn vooral bang voor reputatieschade, als hun bedrijf ten prooi valt aan cybercrime (bron).

Dit bericht bevestigd waar we het al vaker, veel vaker, over hebben gehad. Het gaat het management helemaal niet om de technische of de informatiebeveiligingsrisico’s. Nee, het gaat het top management om kosten, omzet en imago. Blijkbaar worden de CFO’s met name getriggerd door het imago van de organisatie.

Bij onze volgende risico analyse moeten we dus extra aandacht besteden aan het risico voor ons imago. Prima dat we duidelijk willen maken dat onze firewall echt niet meer kan en dat we daarmee grote risico’s lopen. Maar leg dan ook uit dat we het risico lopen dat klantgegevens op grote schaal op straat komen. De CFO kan dan zelf wel bedenken dat hij dit een onacceptabel risico voor de organisatie vindt.

Bekijken het we zo en houden we in ons achterhoofd dat veel organisaties geen CISO hebben, dan moeten er misschien voor zorgen dat de CFO onze grootste sponsor wordt. Een 6,8 klinkt als een voldoende maar is dat misschien voor jouw organisatie helemaal niet. En ja, dat cijfer is arbitrair maar kan ons ook helpen om daadwerkelijk meer aan beveiliging te gaan doen.

Maar laten we dan ook terug vallen op het feit dat het niet alleen gaat om technische maatregelen. Nee, we maken duidelijk welke risico’s we lopen (voor het imago) maar we geven ook duidelijk aan met welke combinatie van technische, organisatorische en procedurele maatregelen we dat risico naar een acceptabel niveau kunnen brengen.

De komende jaren hebben we echt de kans om informatiebeveiliging naar de volgende volwassenheidsfase te laten groeien. Aan ons de keus of we die kans voorbij laten gaan of met beide handen aanpakken.

Nederland mist urgentie in aanpak cyberdreiging

  door

Het niet nemen van bekende basismaatregelen is de grootste bedreiging voor de cyberveiligheid van Nederland. Dat meldt het Cybersecuritybeeld 2011 van het Nationaal Cyber Security Center (bron).

Hoe meer we ons verdiepen in beveiliging, hoe ingewikkelder onze aanpak wordt. We kiezen voor allerlei technisch hoogstaande maatregelen die ons moeten helpen bij het beter beveiliging van onze organisatie. Prima, uitstekend…maar niet voordat we de basis goed geregeld hebben en niet voordat we daadwerkelijk begrijpen dat het gaat om de juiste combinatie van technische, organisatorische en procedurele maatregelen.

Er lopen op dit moment zeer veel initiatieven binnen bedrijven om de beveiliging te verbeteren. In het verleden hebben we een beetje teveel bezuinigd op informatiebeveiliging, dus die achterstand moeten we maar snel inhalen met de nieuwste technische snufjes.

Toch zien we dat organisaties vergeten om even afstand te nemen van hun huidige situatie en situatie die ze uiteindelijk willen bereiken. Zouden organisaties wel de tijd nemen om hun beveiligingsstrategie goed uit te denken dan zou dat niet alleen heel veel geld schelen maar zou er ook nog eens voor zorgen dat de beveiliging vele malen beter wordt.

Het is geen kunst om honderduizenden euro’s in beveiliging te stoppen. Het is wel een kunst om met zo min mogelijk maatregelen een zo goed mogelijk niveau van beveiliging te bereiken. Daarvoor grijpen we niet naar maatregelen maar redeneren we vanuit de risico’s. Weten we die risico’s (en de kans en impact) dan kunnen we bepalen welke risico’s we accepteren en voor welke risico’s we maatregelen willen nemen.

En voor die risico’s waarvoor we besluiten om maatregelen te nemen komen we dan weer terug bij de juiste combinatie van technische, organisatorische en procedurele maatregelen.

Helaas allemaal een utopie. In de praktijk hebben we het gevoel dat we risico’s lopen. Welke dat zijn weten we eigenlijk niet maar de nieuwste technische snufjes moeten ons helpen. Zo gaat het niet werken en zijn we de komende jaren misschien wel bezig om achterstallig onderhoud op het gebied van informatiebeveiliging weg te werken…maar veel veiliger zullen we daar helaas niet door worden.