Onlangs bracht IBM naar buiten dat een datalek gemiddeld €3,48 miljoen aan securitykosten en boetes bedraagt. Daarin zijn de financiële gevolgen door reparatieschade nog niet eens meegenomen. Met goed securitymanageme­nt beperk je de kans daarop enorm. Hoe richt je dat in?

Slordigheidjes

De grootste datalekken hebben vaak de kleinste oorzaken. Een velletje met wachtwoorden dat bij de printer is blijven liggen, een werklaptop waarop zoon of dochter thuis naar hartenlust illegale software installeert, of een oude server die eigenlijk nooit is vervangen; het kan je bedrijf behoorlijk kwetsbaar maken voor cybercriminaliteit. Volgens het nieuws is het elke week wel ergens raak.

Lochem

Zo had de gemeente Lochem onlangs te maken met een Remote Desktop Protocol aanval. En dat kostte de gemeentekas ongeveer 200.000 euro. Voor een kleine gemeente met nauwelijks budget is dat een extreem hoog bedrag. En laatst meldde De Volkskrant bijvoorbeeld nog dat het netwerk van honderden bedrijven maandenlang open bleek te liggen, waaronder dat van Shell en KLM. Incidenten waren (nog) niet gemeld, maar zoiets wil je natuurlijk te allen tijde voorkomen.

Hoge reparatiekosten

Je kunt stellen dat in de praktijk een datalek bedrijven gemiddeld 10 tot 20% van de jaaromzet kost, los van de commerciële en juridische nasleep en de eventueel opgelegde boetes door de Autoriteit Persoonsgegevens (AP). Dus bij een omzet van 1 miljoen euro ben je hieraan honderd tot tweehonderdduizend euro kwijt. Dit betreft dan alleen nog maar directe kosten om op het gebied van IT de zaken te repareren. Omdat dit vaak ad-hoc uitgevoerde noodgrepen zijn, komt het totale kostenplaatje meestal nóg hoger omdat je systemen ook nog écht toekomstbestendig moet maken.

Blijven updaten

Reden genoeg om alles dus goed dicht te timmeren. Je kunt al een hoop leed voorkomen door het complete ICT landschap plus datastromen goed in beeld te hebben, fysiek uit te zetten wat je aan servers niet gebruikt en bijtijds alle systemen te updaten. Vooral in dat laatste zit de crux, want door uitgestelde updates voldoen veel systemen niet meer aan de meest actuele veiligheidsprotocollen, met alle gevolgen van dien.

Security management software

Bovenstaande technische maatregelen zijn al goed te tackelen door over de hele organisatie een gedegen securitymanagement te introduceren. Inclusief tool om de uitvoer daarvan compleet te sturen en monitoren, zoals onze GRCcontrol modules dat doen.

Van belang is om daarbij te handelen met het mogelijke risico voor jouw organisatie in het oog, zodat je ingrepen er ook daadwerkelijk toe doen. En dus niet klakkeloos een pakket aan maatregelen, regels of procedures te introduceren omdat dat nu eenmaal voorgeschreven is door bijvoorbeeld de IT afdeling.

All-over securitybeleid

Alleen… daarmee ben je er nog niet. Want zo’n 70% van alle informatielekken ontstaan domweg door onzorgvuldigheid van eigen medewerkers. Daarom is het nog belangrijker om de hele organisatie te doordringen van de kwetsbaarheid van de organisatie. Omdat de mogelijk ernstige gevolgen van een incident iedereen aangaan, van het management tot de receptionist aan de balie.

Incidenten-meld-app

Binnen zo’n beleid zou je elkaar dan ook moeten kunnen wijzen op slordigheidjes en nalatigheden. Zonder dat zo’n melding enige consequenties heeft voor de melder. Wij hebben daarvoor de GRCcontrol Lite app ontwikkeld, dat een vast onderdeel is van de GRCcontrol software.

De app werkt heel eenvoudig en is niet verweven met lastige juridische termen; je ziet of merkt dat er iets niet klopt en dat kun je centraal melden in je eigen bewoordingen. Zoals inderdaad dat ene blaadje met gevoelige informatie dat je hebt zien slingeren in de vergaderkamer.

Anonimiteit gewaarborgd

Kern is dat zo’n melding anoniem gedaan kan worden. Zodat het niet gaat om de vinger te wijzen naar de mogelijke schuldige(n), maar puur om het signaleren van een probleem waardoor er snel maatregelen kunnen worden getroffen. Door die anonimiteit en onkwetsbaarheid worden medewerkers ook gestimuleerd om een melding te doen, waardoor je er op tijd bij kunt zijn om eventuele schade te beperken.

Liever meldingen te veel

Natuurlijk hoeft niet elk slordigheidje de alarmbellen te laten rinkelen. Het is namelijk aan de intern security expert de taak om te beoordelen of actie moet worden ondernomen en zo ja, wat dat dan is. En daarmee valt het integraal risicomanagement meteen op z’n plek. Als organisatie ontvang je namelijk liever te veel meldingen die je moet filteren dan dat je helemaal geen melding krijgt en plotseling wordt geconfronteerd met onnoemelijke veel schade.

Goede huisvader

Regel je het op bovenstaande manier, dan creëer je intern een veel groter draagvlak voor alle data- en AVG beveiligingsmaatregelen die je treft. En raakt iedereen zich ervan bewust dat zwakste schakel daadwerkelijk de zwakste schakel is. Zo draag je allemaal de verantwoordelijkheid en borg je bovendien het ‘goed huisvaderschap’ over alle aan jou toevertrouwde data ten aanzien van stakeholders, certificeerders en autoriteiten.

Over CompLions

CompLions ontwikkelt software voor GRC management en Integrated Risk Management. Met onze security expertise adviseren we ook bedrijven en organisaties over compliance zaken, assurance en Service Level Agreements.

Ja, ik wil graag een gratis demo van GRCcontrol van CompLions!

Bezoekadres

Keulenstraat 8E
7418 ET Deventer

Postadres

Keulenstraat 8E
7418 ET Deventer

Contact

Administratie
9:00 – 17:00 uur

Telefoon
0570 – 63 47 17

E-mailadres
info@complions.com

Openingstijden Service Desk
ma t/m vr van 8:00 – 18:00 uur CET/CEST, met uitzondering van de erkende Nederlands feestdagen

Telefoon
0570 – 62 19 34

Copyright | Algemene voorwaarden | Privacy Statement | Cookiebeleid