Uit onderzoek van Alert Online blijkt dat de meeste Nederlanders zich weinig zorgen maken over cyberveiligheid op het werk. De reden hiervoor is dat werknemers vinden dat de werkgever verantwoordelijk is voor de cyberveiligheid. Voor jou als werkgever ligt hier dus een belangrijke taak. Maar dan is het wel belangrijk om te weten wat cyberveiligheid is en op welke manier je zorgt voor een bestendige beveiliging.
Volgens het Nationale Cyber Security Strategie van het ministerie van Veiligheid en Justitie/NCTV is de definitie van cyberveiligheid “het streven naar het voorkomen van schade door verstoring, uitval of misbruik van ICT, en als toch schade is ontstaan, het herstellen hiervan”.
Als financieel dienstverlener maak je doorlopend gebruik van ICT om bijvoorbeeld de financiële situatie van je klant te inventariseren, informatie uit te wisselen of het salaris van medewerkers uit te betalen. Het is goed mogelijk dat systemen (voor langere tijd) uitvallen, er wordt geknoeid met cruciale informatie of vertrouwelijke informatie op straat belandt. De schadelijke gevolgen voor je klanten, medewerkers en voor de organisatie kunnen groot zijn als maatregelen ontbreken of ontoereikend zijn.
Een adequate cyberbeveiliging
In de kern komt een adequate cyberbeveiliging neer op het nemen van maatregelen voor de risico’s op verstoring, uitval of misbruik. Een eenmalige implementatie van beveiligingsmaatregelen is echter om verschillende redenen onverstandig. Niet alles is (direct) perfect in te regelen en al helemaal niet voor een gebied dat snel ontwikkelt. Cyberveiligheid verdient continu aandacht en daar is een bestendig proces voor nodig. Dit proces kun je in de volgende onderdelen onderscheiden:
- Inventariseer processen en bedrijfsmiddelen;
- Beoordeel aan welke beveiligingseisen die processen en bedrijfsmiddelen moeten voldoen;
- Analyseer de risico’s;
- Neem maatregelen om risico’s te beheersen;
- Controleer en evalueer regelmatig; en
- Pas maatregelen aan wanneer dat nodig is.
Doorontwikkelen
Je stelt je organisatie in staat om mee te groeien met ontwikkelingen, wanneer je gebruikmaakt van een procesmatige benadering in de vorm van een cyclus. Constateer je bijvoorbeeld dat er een risico bestaat op phishing en heb je hier een aantal jaar geleden maatregelen voor genomen? Dan had je de ontwikkeling moeten blijven monitoren. Denk aan de phisingmails van Afrikaanse prinsen. Buiten de ongewone afzender, kon je ook aan het gebrekkig taalgebruik direct zien dat het om een phishingmail ging. Tegenwoordig zijn phishingmails bijna niet meer van echt te onderscheiden. Door zowel de risico’s als de intern getroffen maatregelen te blijven monitoren, groeit je cyberbeveiliging op adequate wijze mee met de risico’s.
De bedrijfscultuur en het aanpassingsvermogen spelen hierin een belangrijke rol. Het is daarom verstandig om organisatiebreed en op individueel niveau gebruik te maken van kritische prestatie-indicatoren (KPI). KPI’s zijn variabelen die inzicht geven in de prestaties van de organisatie. Bijvoorbeeld het aantal keer dat klantdossiers onbeheerd op het bureau van medewerkers worden aangetroffen en onder welke omstandigheden. Doe je dit op de juiste manier, dan:
- Controleer je de afspraken die je hebt gemaakt;
- Vergroot je het bewustzijn onder medewerkers;
- Maak je vooruitgang meetbaar; én
- Is iedereen direct betrokken bij de beveiliging.
Hulp nodig bij je bedrijfsvoering? Neem dan contact op via 010 – 760 11 00.