Wie draagt het gele hesje bij een cyberincident?

0

Regelmatig zit ik bij klanten om de ontwikkelingen rond cyberrisico’s te bespreken. We hebben het dan bijvoorbeeld over de Meldplicht Datalekken, of over de aanstaande Europese Verordening. Klanten willen weten wat zij van zulke zaken merken. En welke oplossingen wij hebben om de risico’s te beperken. Dat begint bij het gele hesje.

Met name de Meldplicht Datalekken is een wake up call voor veel bedrijven. Het besef dringt door dat de digitale revolutie naast voordelen ook meer verantwoordelijkheden heeft gebracht, bijvoorbeeld bij de omgang met persoonsgevoelige data. Veel bedrijven hebben al belangrijke stappen gezet. En toch: hoe vaker wij bij Aon onze Privacy Impact Analyse uitvoeren, hoe meer we ook zien dat veel bedrijven nog niet ‘cyberproof’ zijn.

Peter

Zo zat ik onlangs bij een groot bedrijf om tafel met de CFO en de Legal Counsel. We hadden het over cyberrisico’s, met name over databeheer, dataprivacy en de vereiste acties bij een datalek. Zo is het sinds kort verplicht een datalek te melden bij de Autoriteit Persoonsgegevens en de ‘slachtoffers’ te informeren. Na een half uur had ik al vijf keer ‘Peter’ genoteerd als verantwoordelijke bij een cyberincident. Op mijn vraag wie die Peter dan was, kreeg ik het verwachtte antwoord: “Hij is van ICT.”

Ik vroeg of Peter wist dat wij dit gesprek hier nu voerden, en dat al deze zaken van hem werden verwacht bij een cyberincident. Kan Peter dit werkelijk allemaal zelfstandig? Er viel een korte stilte. Het antwoord dat volgde was ontkennend.

Zie hier het probleem van veel organisaties: ze beschouwen hun datasecurity als een zuiver ICT-issue. Ik val in herhaling als ik zeg dat het een zorgtaak is voor de totale organisatie (directie, Marcom, HR, Legal en ICT). Toch blijf ik benadrukken dat elke werknemer verantwoordelijkheid draagt voor cybersecurity. Vergelijk het met brandveiligheid: daar waakt ook iedereen voor.

Kijk eens naar de muur

Ongetwijfeld weet u dat allemaal best. Maar kijkt u nu eens naar de muur. Grote kans dat daar een poster hangt die u vertelt wat u moet doen bij brand. En waarschijnlijk heeft u wel eens een brandoefening meegemaakt, waarbij BHV-ers paraat staan en collega’s een geel hesje aantrekken en aanwijzingen geven.

Mijn vraag aan u is: weet u ook wie bij een cyberincident de hoofdverantwoordelijken zijn? En weten de hoofdrolspelers dat zelf ook? Weet u wie het gele hesje aantrekt als het digitaal misgaat? Als u bevestigend kunt antwoorden, bent u te feliciteren. Zo niet, dan kom ik graag eens bij u langs om verder te praten.

Elke werkdag het belangrijkste financiële nieuws in uw mailbox? Meld u gratis aan voor InFinance Daily.

Deel dit artikel

Over de auteur

Sjaak Schouteren

Sjaak Schouteren is Manager Cyber Risk Solutions bij Aon.