Nieuwsbrief 32 - Juli 2014
PraktijkPerikelen - Directeur Marcel Tegelaar van Informatiebeveiliging Nederland:

'Nog vaak onvoldoende besef gevolgen hacking'

Steeds meer bedrijven en organisaties beheren steeds meer gegevens van steeds meer consumenten. Daardoor wordt ook de kans dat er iets misgaat steeds groter. Directeur Marcel Tegelaar van Informatiebeveiliging Nederland werkt er dagelijks aan om dat besef te vergroten én om organisaties te helpen de risico's zo veel mogelijk te beperken. 

"Bewustzijn speelt daarbij een belangrijke rol", vertelt hij. "Alles technisch dichttimmeren terwijl medewerkers nog steeds een PostIt met hun wachtwoord op hun beeldscherm plakken, heeft natuurlijk geen enkele zin. En je zult verbaasd zijn als je weet hoe vaak dat nog gebeurt."

Ook het aantal mensen dat zich laat misleiden door phishing is groot, weet Tegelaar uit ervaring. "Als onderdeel van onze dienstverlening bieden wij security-awareness-trajecten aan, waarbij we in een gecontroleerde omgeving tests uitvoeren. Zelfs bij bedrijven in de financiële sector kan het zo maar gebeuren dat een kwart van de medewerkers zonder argwaan in de valkuil trapt en inlogt op de nep-website."

Indirecte schade grootste kostenpost

Om dit te verbeteren, helpt Tegelaars bedrijf om informatiebeveiliging als onderdeel van het risicomanagement te implementeren in de organisatie en de processen. "Want hoewel het besef langzaam groeit, weten veel directies nog altijd niet wat de gevolgen van informatiediefstal door malware, hackers of fouten van eigen medewerkers kunnen zijn", vertelt hij. "De indirecte schade is namelijk vaak veel hoger dan de directe schade."

Een factor tien is daarbij geen uitzondering. "Zo gebeurde het laatst nog dat een bedrijf na een datalek een directe schade had van € 9.000, terwijl de indirecte schade uiteindelijk € 95.000 bedroeg. Maar het kan veel erger. Wie herinnert zich niet de DigiNotar-affaire? Dat bedrijf is aan het schandaal ten ondergegaan, omdat niemand hun producten meer vertrouwde."

Crisismanagement

Het had overigens ook anders kunnen aflopen met DigiNotar. "Want wist je dat Comodo, een vergelijkbare, Amerikaanse  leverancier door dezelfde Iraanse hacker is gehacked? Comodo bestaat echter nog steeds." 

In tegenstelling tot DigiNotar heeft Comodo de hack namelijk zelf bekend gemaakt. "Daardoor kon iedereen maatregelen nemen om de schade tot een minimum te beperken. Het gevolg was dat Comodo het vertrouwen behield, ondanks de hack. Crisismanagement is op zo'n moment dus van cruciaal belang. De draaiboeken moeten klaarliggen en de rollen moeten duidelijk zijn."

Keuzes maken

Wat je kunt maken, kun je kraken. "Daarom is het onmogelijk om datarisico's 100% te voorkomen", besluit Tegelaar. "Dat is ook niet wenselijk, omdat alles volledig dichttimmeren ten koste gaat van je bedrijfsproces of product. Je moet dus keuzes maken en besluiten om bepaalde risico's uit te bannen, bepaalde risico's te verzekeren en andere zelf te dragen."

Naschrift Hiscox

Hiscox reikt met Data Risks by Hiscox niet alleen een uitstekende datariskverzekering tegen een scherpe prijs aan, maar biedt ondernemers ook de mogelijkheid om door middel van een gratis self assessment of webscan een eerste risico-analyse uit te (laten) voeren. Daarnaast neemt Hiscox in geval van schade desgewenst de regie in het crisismanagement-traject.