Modern risicomanagement

No comments »
AUTHOR:
CTO Dell EMC Nederland
CATEGORIES:

Ondernemen zonder risico’s gaat niet. Daarom is het voor een onderneming belangrijk om een zo compleet mogelijk ‘Risico-management-framework’ te hebben. Dat gaat van operationele risico’s tot reputatieschade, van marktrisico’s tot financiële risico’s en compliance. En daar komt de laatste tijd in toenemende mate de factor cyber-risico bij.

De ‘digital bad guys’ die ondernemingen bedreigen zijn overal, vooral buiten de organisatie natuurlijk, maar zeker ook vanuit binnen. Een bekende uitspraak is dat er twee soorten bedrijven zijn: zij die weten dat zij een cyber hack hebben gehad én zij die dat nog niet weten.

In een vorige blog schreef ik dat digitale klanten steeds meer zekerstelling willen dat de digitale veiligheid van de leverancier adequaat is. Dat gebruikersdata en zeker het privacydeel daarvan, op een goede en bewezen wijze worden beschermd en gebruikt. Meer en meer zijn in de markt gevallen te zien waar klanten van digitale dienstverleners en leveranciers weglopen, omdat in de pers berichten over cyber-inbraken zijn verschenen.

Risicobesef
Een realtime onderneming is een mooi bezit. En je kunt er snel klanten mee werven en diensten mee leveren. Maar ook voor inbrekers is een realtime omgeving mooi: ze zijn binnen en weer buiten voordat je er erg in hebt. Een ander nadeel is dat klanten bij calamiteiten ook weer snel kunnen weglopen. Zoals Cruyff al zei: elk voordeel heeft zijn nadeel.

En zijn eveneens beroemde uitspraak: ‘je gaat het pas zien als je het doorhebt’, is helaas voor veel bestuurders van toepassing. In de directie en raad van commissarissen zijn vaak te weinig mensen die enig risicobesef hebben van de digitale maatschappij. En zeker het het riskmanagement framework dat een volwassen digitale organisatie vraagt om continuïteit van de onderneming zeker te kunnen stellen.

Dark web
En het gaat niet alleen om de ouderwetse inbraak om geld of bedrijfsinformatie te stelen. Hoe erg ook, nieuwe soorten aanvallen hebben het doel de bedrijfsvoering te ontwrichten. Door de infrastructuur plat te leggen met DDoS aanvallen, of data te compromitteren opdat die niet meer bruikbaar is of zelfs – met ransomware – de data te gijzelen door encryptie en daar losgeld voor te vragen. Ik hoorde laatst het verhaal dat leerlingen – met voor enkele euro’s op het ‘dark web’ gekochte DDoS diensten – het IP-adres van hun school platlegden tijdens een examenperiode. Op het moment dat de school de examens van een centrale plaats moest downloaden voor het examen die dag. Resultaat was toen: geen examen voor die scholieren.

Achterbuurten
Het internet is nooit ontworpen om veilig te zijn. Het is een publieke plaats waar goed en slecht door elkaar loopt. Met één klik kun je in een achterbuurt terechtkomen waar je helemaal niet wilt zijn. En het ‘nabouwen’ van goede buurten, cq goede websites, kan tegenwoordig zo verschrikkelijk goed, dat je bijna niet in de gaten hebt dat je een verkeerde kant op wordt geleid. En omdat we die open, publieke omgeving steeds vaker gebruiken om onze diensten en producten te verhandelen, moet men zich van die constante dreiging bewust zijn. Elke marktkoopman weet dat als hij tussen het publiek zijn handel uitstalt, er voortdurend een wakend oog moet zijn. Dat iemand adequaat kan ingrijpen als er onbevoegd met zijn handel vandoor wordt gegaan. Dat is zorgvuldig risicomanagement!

Verzekeringspremie?
Waarom hebben bestuurders dan helaas zo weinig besef van de risico’s die hun onderneming lopen? Leeftijd, opleiding en loopbaan zijn vaak redenen dat men weinig tot niets van de digitale wereld begrijpt. En zich dus ook niet de risico’s kunnen voorstellen en indenken, die ontstaan als het bedrijf steeds digitaler wordt in al zijn facetten.

Welke digitale risicoprofielen zijn ontwikkeld? Zijn de netwerken op ordentelijke wijze gesegmenteerd en worden ze actief bewaakt? Is de data van het bedrijf geclassificeerd en zijn die afhankelijk van hun klasse op de juiste wijze opgeslagen en beschermd?

Actieve beveiliging is geen verplichte verzekeringspremie meer tegen inbraak maar een voorwaarde om als digitaal realtime bedrijf op het internet zaken te kunnen blijven doen.

Terrorisme
Naast persoonlijke aanvallen zien we ook meer terroristische en zelfs aanvallen van landen. Zeker als de organisatie strategische goederen of diensten levert. Ik zie bij dit soort bedrijven militair georganiseerde beveiligingssystemen ontstaan, om hun eigen bedrijfsvoering te bewaken en actief te verdedigen. Vele cyberwars worden onzichtbaar voor ons als maatschappij uitgevochten. Er zijn websites waarop real time de cyber aanvallen kunnen worden gevolgd die op dit moment plaatvinden. Honderdduizenden per dag.

Rammelen
Bij EMC wordt er gemiddeld 30.000 keer per dag aan allerhande digitale deuren gerammeld of er mogelijk een kiertje in de beveiliging is. Daarvan wordt 99,99% door geautomatiseerde security systemen gedetecteerd en geblokkeerd. Dus toch nog dertig aanvallen die dagelijks speciale aandacht vragen door hun specifieke aard, wijze of bron van aanval. Jaarlijks zijn er bij ons ongeveer tien aanvallen die op het hoogste kritische niveau worden geclassificeerd. Die ondanks alle bescherming en beveiliging toch echt schadelijk waren of hadden kunnen zijn.

Huisvaderschap
Cybersecurity is een onmisbaar onderdeel geworden van elke risicomanagement van elk bedrijf. Natuurlijk hoeft niet iedereen een militair aandoende security organisatie op te bouwen, maar goed huisvaderschap is wel het minste dat nodig is. Zorgen dat er op zijn minst enkele medewerkers of een deel van de organisatie hierop is gefocust en daar verantwoordelijkheid voor heeft. En dat elke medewerker die digitaal gaat, begrijpt hoe goede digitale- en internet-compliance de onderneming beschermt.

Toezicht houden
De komende tien jaar zullen de meeste organisaties volledig digitale ondernemingen worden. Dat zijn mooie ontwikkelingen die ons veel goede zaken zullen brengen. Maar een gezonde dosis scepsis en pragmatisme om dat ook op een veilige wijze te realiseren, blijft nodig. Op het internet wordt alles bewaard en is alles zichtbaar. Zolang je daar volwassen en serieus mee om blijft gaan, heb je de belangrijkste stap al genomen. De techniek en kennis is breed aanwezig om dan vervolgens de juiste en voldoende adequate beveiliging, protectie en risicomanagement-systemen te implementeren. En te zorgen dat dit op bestuurdersniveau ook de aandacht krijgt die het verdient. Daar toezicht op houden, is in onze digitale wereld belangrijker dan ooit.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.