Virtuele risico’s met echte schade

Risk Managers en IT Managers delen een andere mening over cyberrisico’s. Dit blijkt uit een al eerder uitgevoerd onderzoek van Chubb. Een cyberincident is echter niet meer weg te denken in de huidige tijd, maar de awareness op een mogelijke cyberaanval is vaak alleen latent aanwezig. Terwijl ruim een kwart van de onderzochte organisaties er mee te maken heeft gehad.

  • Datalek

Wel eens over de zwakste schakel

Waar Risk Managers en IT Managers het wel over eens zijn, is de zwakste schakel in hun organisaties, namelijk: werknemers. Grotere bedrijven, zoals bijvoorbeeld AkzoNobel, organiseren zogenaamde Cyber Security Awareness Week programma’s om werknemers via interactieve sessies alert te maken op de verschillende cyberrisico’s. Hoe gaat u hiermee om binnen uw organisatie?

Over welke soort dreiging hebben we het bij cyberincidenten?

Organisaties en verzekeraars maken zich, voor zover het cyberrisico’s aangaat, het meeste zorgen over:

  • Hackers/cybercriminelen van buitenaf, virusssen, een DDos-aanval of hack.
  • Een menselijke fout, al dan niet opzettelijk. Waaronder ook verlies of diefstal van data.
  • Technisch falen van eigen IT-systemen, servers, hardware en software
  • Ransomeware

Deze opsomming is zeker niet compleet, de punten geven aan waar de meesten van ons als eerste aan denken. Bovenstaande incidenten leiden vaak ook tot echte schade. Het stagneren van processen, reputatieschade en mogelijke omzetderving als gevolg van het niet meer bereikbaar zijn voor uw klanten.

Hoe zit het met een datalek?

Als we deze vraag voorleggen, blijkt al snel dat we dit zien als één van de grooste risico’s. Dit komt mogelijk mede door de focus die heden ten dage hierop ligt vanuit de Algemene Verordering Gegevensbescherming, de AVG. Niet alleen een mogelijk lek speelt hier parten, ook de hoge boetes die organisaties opgelegd kunnen krijgen bij een overtreding van de regels.

Wat dekt een cyberverzekering?

De dekking verschilt natuurlijk per verzekeraar. Verzekeringen worden keer op keer aangepast op basis van risico’s en het uitsluiten daarvan. We kunnen grofweg 3 fases herkennen.

  • Fase 1: Voorafgaande aan een cyberincident
    Alleen al bij het vermoeden van een incident kan er schade ontstaan. Denk hierbij aan een dreiging van buitenaf om een proces te stagneren. Zo kan bijvoorbeeld uw bereikbaarheid verstoord worden als gevolg van een DDos-aanval of het lekken van data. Als organisatie wilt u mogelijk al handelen en expertise inkopen om een dergelijke chantage te voorkomen.
  • Fase 2: Tijdens een cyberincident
    Denk aan onderzoekkosten om het probleem te onderzoeken. Maar ook proceskosten of kosten van verweer zijn vaak te verzekeren en inkomstenderving als gevolg van het stilvallen of uitvallen van systemen via een bedrijfsschadedekking.
  • Fase 3: De herstelfase
    Hier liggen vooral de kosten om het probleem te herstellen, een cyber security recovery plan uit te voeren. Waarin zowel systemen, hardware, software en herstel van data naar voren komen.

Welke preventieve maatregelen neemt u?

Hoe voorkomt u binnen uw organisatie cyberrisico’s? Welke beveiligingsmaatregelen heeft u genomen? Welke eisen worden er gesteld aan uw IT-systemen? Hoe zit uw Disaster Recovery Plan in elkaar? Allemaal onderdelen die vanuit de IT Manager worden onderkend. Maar dit is niet alleen de verantwoordelijkheid van IT professionals. Uw Business Continuity Management is de verantwoordelijkheid van directie met uw IT Manager.

Hoe zit het met uw bedrijfscontinuïteit?

Bedrijfscontinuïteit gaat verder dan het nemen van preventieve maatregelen tegen virtuele risico’s. Verder dan IT en cyberincidenten die van buiten of binnen uw organisatie komen. Hoe zijn uw bedrijfskritische processen geborgd op het moment dat de impact tijd langer is dan de maximale tijd dat stagnatie acceptabel is. Wat is überhaupt acceptabel? Vragen die u binnen uw organisatie met een risicoanalyse helder voor ogen kunt krijgen.

Een vervangende locatie tijdens en na een virtuele calamiteit

Heeft u gedacht aan een vervangende locatie waar uw medewerkers kunnen werken tijdens en eventueel na de calamiteit? Binnen hoeveel tijd moeten uw processen weer operationeel zijn, moet u weer bereikbaar zijn voor klanten en leveranciers. Gaan uw medewerkers thuiswerken? Voor een paar uur waarschijnlijk geen probleem, maar dan? Hoe zorgt u ervoor dat er een eenduidige communicatie naar buiten is bij een langdurige uitval. Waar gaat uw crisisteam naar toe?

Binnen één dag een vervangend kantoor

In samenspraak met uw IT-beheerder of -leverancier werken wij aan uw bedrijfscontinuïteit. Door middel van een Business Impact Analyse en Business Continuity Plan hebben we met elkaar inzichtelijk wat er dient te gebeuren. Inclusief vervangende kantoorruimte voor uw medewerkers en crisisteam. Hoe, binnen welke tijd en met welke voorzieningen bepalen we in samenspraak. Vraag bij uw bestaande IT leverancier na hoe men dit heeft geregeld en of er een samenwerking is. Breng ons anders met elkaar in contact. Kijk alvast naar onze standaard BCM pakketten naast de maatwerkoplossingen die wij al jarenlang bieden.

Vragen naar aanleiding van dit artikel?
Heeft u naar aanleiding van dit artikel over virtuele, cyber, risico’s vragen, bel dan met uw IT beheerder of -leverancier. Of neem vrijblijvend contact met ons op, onze BCM specialisten staan u graag te woord.