MKB Cyber Risico: hype of wake up call?

Cyber security is hot

Cyber veiligheid is hot en advies op het gebied van cyber risico’s is lucratief. Zo heeft Deloitte haar winst behoorlijk opgepoetst door met name de groei in haar (cyber) adviespraktijk. Er is veel te lezen in de media over schade door cyber criminaliteit. Verder wordt gerept over opportunisten, die zich roeren op de onbeschermde adviesmarkt van cyberrisico’s.

Je zult maar MKB-er zijn en keuzes moeten maken rond jouw cyber veiligheid. Wie gaat je daar bij helpen? En hoe oprecht en vakbekwaam is die hulp dan?

Mijn advies: neem het heft in eigen handen.

Cyber Risico voor het MKB

Wikipedia omschrijft cyber als “een voorvoegsel dat gebruikt wordt voor iets dat met internettechnologie samenhangt”. Cyber risico houdt zich bezig met de risico’s die hiermee samenhangen. Aangezien tegenwoordig bijna alles in verbinding staat met het internet, treft dit risico ook bijna alle ondernemingen in het MKB. Denk aan de fietsenwinkel die fietsen online ook gaat aanbieden; een groothandel wiens leveranciers kunnen inloggen op het extranet om voorraad aan te vullen; het vastleggen van klantgegevens in de cloud, en zo voort.

Er zijn twee gebieden die veel aandacht krijgen rond cyber beveiliging. Dit is [1] wetgeving rond de bescherming van persoonsgegevens en [2] cyber criminaliteit. Beide dragen bij aan de groeiende aandacht voor het cyber onderwerp, maar hebben een andere oorsprong.

Bescherming persoonsgegevens

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt), vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Persoonsgegevens zijn waardevol en zijn bij wet beschermd. Dit stelt eisen aan de wijze waarop organisaties omgaan met gegevens van personen. Deze waarde zie je ook terug in de prijzen die criminelen op het dark web betalen voor verschillende soorten persoonsgegevens.

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wat verandert er? De AVG zorgt onder meer voor versterking en uitbreiding van privacy rechten en meer verantwoordelijkheden voor organisaties. In de AVG, of de officiële Europese benaming General Data Protection Regulation (GDPR), wordt veel bepaald over verantwoordelijkheden rondom het gebruik en de bescherming van persoonsgegevens, maar niet over je bedrijfsinformatie en data. En die zijn minstens zo belangrijk voor de continuïteit van de organisatie.

Cyber criminaliteit

Daarnaast is er veel aandacht voor cyber criminaliteit. De schade voor de Nederlandse economie wordt geschat op meer dan 10 miljard euro per jaar. Dit is 7 miljard euro meer dan autoschades en  bijna 9 miljard euro meer dan winkeldiefstal. Het blijft bij schattingen omdat statistieken ontbreken. Lang niet alle ondernemingen melden dat ze slachtoffer zijn geworden van cyber criminaliteit, mogelijk ingegeven door angst voor reputatieschade. Maar ook de relatie met de plicht tot rapportage van datalekken (met bijbehorende kans op boetes) draagt bij aan terughoudendheid.

Hoewel de specifieke cijfers ontbreken, bestaat algemene consensus dat cyber risico’s in het MKB steeds groter worden. Als oplossing wordt aangedragen het tijdig uitvoeren van software updates, periodiek back-ups maken en het aanschaffen van de laatste virusupdates. Dit is niet kostbaar en vrij simpel uit te voeren. Veel van de problemen zijn echter terug te voeren op gedrag. Menselijke fouten zijn niet zomaar met programmeren te voorkomen en vragen om een bredere aanpak.

Cyber Risico Management

De oplossing ligt in de geïntegreerde benadering van cyber risico’s. Hierbij moeten zowel de systemen van de organisatie (hardware en software) als de processen en procedures op systematische wijze zijn georganiseerd en worden meegenomen in de risicobeoordeling.  Cyber risico management is een gestructureerde aanpak, die bestaat uit 4 stappen.

Inventarisatie, beoordeling, beheersing, financiering

Inventarisatie: allereerst wordt gekeken naar de verschillende aspecten van bescherming van persoonsgegevens tot databeveiliging en bedrijf continuïteit na een hack, ofwel een inventarisatie van de cyber risico´s.

Beoordeling: vervolgens wordt beoordeeld hoe groot de risico´s zijn en wat de kans is dat het gebeurt. Per bedrijfstak zijn de verschillen groot en maatwerk is noodzaak.

Beheersing:  welke risico’s willen we elimineren en welke verminderen? Verminderen betekent ook het (re)organiseren van de bedrijfsprocessen en procedures om de kans op schade te verminderen.

Financiering: welke risico’s kunnen we zelf dragen en welke willen we overdragen? Dit kan in de vorm van een cyber verzekering of outsourcing.

Maak je bedrijf sterker

Al met al zijn cyber risico’s niet zo makkelijk weg te nemen. Het ei van Columbus is nog niet gevonden: niet alleen het installeren van een firewall, niet alleen het opstellen van procedures voor medewerkers, niet alleen het afsluiten van een cyber verzekering.  De oplossing ligt in een bredere benadering.

Maak je bedrijf sterker door zelf verantwoordelijkheid te nemen met het integraal toepassen van cyber risico management. Dit begint met een nulmeting.

Hype of wake up call?

Terug naar de vraag of cyber risico’s een hype of wake op call is. Mijn advies is het heft in eigen handen te nemen. Beschouw de bedreiging van cyber risico’s als een wake up call en zorg dat je als MKB-er weerbaar wordt. Denk na over de mogelijke gevolgen voor jouw bedrijf en zorg voor een cyber beleid. Gebruik cyber als aanjager van interne technologische verbeteringen en externe marktkansen. Daar helpen we je graag bij.

Tot slot

Wil je weten wat informatiebeveiliging voor jouw organisatie betekent?

Slomp & De Graaf financieel adviseurs werkt samen met Rijs Solutions (ICT) en Bureau Marjos Leroy (kwaliteitsmanagement) voor een geïntegreerde risicomanagement benadering. We hebben samen een korte checklist ontwikkeld om je inzicht te geven op dit gebied en waar voor jou mogelijke aandachtspunten liggen. Heb je interesse in deze scan? Vul deze dan hier in en ontvang een gratis Whitepaper met hands-on tips om als organisatie direct aan de slag te gaan met informatiebeveiliging.

Kijk voor meer informatie op maakjebedrijfsterker.nl.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.