Categorieën

Opvallend genoeg staat security niet hoog op de agenda van directie- en bestuursleden van organisaties. En dat terwijl media vrijwel iedere week melding maken van datalekken en cyberaanvallen. Bestuurders zijn zich onvoldoende bewust van de noodzaak van een goede beveiliging van hun privacygevoelige data. ‘Dat zegt iets over het gebrek aan respect voor klanten,' aldus Pieter Lacroix, managing director bij Sophos Nederland. Drie redenen waarom directies zich wél druk moeten maken over security.

Inhoudsopgave

Nieuwe wetgeving

Sinds 1 januari is de wet Bescherming Persoonsgegevens uitgebreid met de meldplicht datalekken die bedrijven en instellingen verplicht om (vermeende) lekken van privacygevoelige data te melden bij de Autoriteit Persoonsgegevens (voorheen College bescherming persoonsgegevens). De Autoriteit Persoonsgegevens (AP) kan bij overtreding van de nieuwe wet een boete opleggen tot 820.000 euro. De AP riep de Raden van Bestuur van zorginstellingen in Nederland onlangs in een open brief op zorgvuldig om te gaan met patiëntgegevens.

Pieter Lacroix maakt zich zorgen. ‘Uit onderzoek dat wij vorig jaar – in de aanloop naar de invoering van de meldplicht datalekken – hebben gehouden, bleek dat de kennis van de materie, maar ook de bijbehorende wet- en regelgeving, bij het gros van de organisaties volstrekt onvoldoende was.’

Dit is geen uniek probleem van de zorg, maar komt in vrijwel alle sectoren voor. Lacroix: ‘Veel bedrijven realiseren zich ook onvoldoende dat de bescherming van data geen zaak is die alleen het externe verkeer aangaat. Ook intern zijn bedrijven verplicht ervoor te zorgen dat ongeautoriseerd personeel persoonsgegevens niet inziet.’

Op Europees niveau is onlangs de lang verwachte privacy-verordening aangenomen die vanaf 2018 officieel van kracht moet worden. ‘Het is eigenlijk treurig dat dergelijke wetgeving noodzakelijk is,’ zegt Lacroix. ‘Het beschermen van persoonsgegevens zou bij iedere organisatie in het DNA moeten zitten.’

Omzetderving

Digitale technologie is voor veel organisaties cruciaal. Bij een aanval van buitenaf kunnen systemen plat komen te liggen, wat direct en indirect tot omzetverlies kan leiden. ‘Als een organisatie een website heeft die vooral als digitale folder dient, kun je je afvragen hoe ernstig het is als die even onbereikbaar is.

Maar is de site bedrijfskritisch, omdat er bijvoorbeeld via een webshop omzet mee wordt behaald, dan zijn de investeringen in maatregelen al meer gerechtvaardigd. Voor echt grote bedrijven met dito budgetten die miljoenen omzet maken via hun website, is het logisch dat zij alles uit de kast halen om de uptime van de website te garanderen.’

Afgezien van de website is de IT-omgeving voor veel bedrijven al bedrijfskritisch. Een eenvoudige risicoanalyse geeft al aan wat de schade is als systemen down zijn.
Lacroix: ‘Hoeveel omzet loopt het bedrijf mis als de medewerkers niet bij hun applicaties kunnen? En komen klanten terug op het moment dat ze het bedrijf of de webshop even niet kunnen bereiken? Of vinden ze dan al snel de weg naar een concurrent? Dat zijn simpele vragen waar een directie zich over moet buigen en actie op moet ondernemen.’

Reputatieschade

‘Een solide imago komt te voet en gaat te paard,’ stelt managing director Pieter Lacroix. Imagoschade is snel opgelopen als de beveiliging van IT-systemen van een organisatie niet goed is geregeld. Media berichten geregeld over organisaties die gevoelige data verloren, iedereen kan zich de voorbeelden heugen. De ene keer bleef er een usb-stick in een taxi liggen, een andere keer werd een laptop gestolen of raakte iemand een smartphone kwijt die geen lock had.

‘Vanaf een bepaalde hoeveelheid mobiele devices is het niet meer de vraag of er ooit eens eentje zoekraakt, maar wanneer. Veel directies denken dat ze er met antivirus en een firewall wel zijn, maar cybercriminelen en hackers worden steeds slimmer en de technieken die ze gebruiken steeds geavanceerder. De continuïteit van een bedrijf komt onder vuur te liggen.’

Een voorbeeld is het Amerikaanse warenhuis Target. Het vertrouwen in de security-technologie was zo groot dat directie en werknemers er vanuit gingen dat hun niets meer kon gebeuren. Die houding gaf cybercriminelen negen maanden lang de tijd om creditcardgegevens van klanten te verzamelen. Achteraf bleek dat de technologie wel gewaarschuwd had dat er iets niet klopte. Doordat het alarm ook op allerlei andere zaken afging, werd het echter niet meer serieus genomen.

‘Als bedrijf moet je er altijd vanuit gaan dat je wordt aangevallen, zodat de signalen als dat daadwerkelijk het geval is, serieus worden genomen,’ zegt Lacroix. Hij stelt dat niet alleen bedrijven reputatieschade kunnen oplopen door datalekken of security-kwesties.

‘Beveiliging moet op de agenda van bestuurders komen te staan. Hun klanten en gebruikers verwachten namelijk dat ze actie ondernemen. Doen ze dat niet, dan lopen ze het risico op persoonlijke reputatieschade. Het feit dat security en het beschermen van privacygevoelige data van klanten en medewerkers zo laag op de directieagenda staat, zegt ook iets over het gebrek aan respect voor klanten en werknemers. Eigenlijk vind ik het niet meer dan goed fatsoen dat je als bedrijf netjes en veilig met de gegevens van klanten omgaat,’ besluit Lacroix.

Lees ook…
Grote datalekken, schandalen, fraude. Het zijn zaken die zelfstandig hacker Sijmen Ruwhof (30) regelmatig tegenkomt tijdens zijn werk. Hij wordt als…
Een veilige onlineomgeving vraagt om een scherp cloudbeleid. Ondernemers staan op dat gebied voor steeds grotere uitdagingen. Hackers worden slimmer en…
Elk bedrijf bewaart data die erg waardevol is of die valt onder strenge privacyeisen. Uiteraard moeten organisaties er alles aan doen om deze data te…