investeren in cybersecurity

U bent misschien een kleine ondernemer, of u werkt niet met veel gevoelige gegevens, denkt u. Waarom zou u dan investeren in cyberweerbaarheid? Maar zelfs als kleine ondernemer bent u kwetsbaarder dan u denkt. Een goede voorbereiding is daarbij cruciaal en kan een hoop gedoe achteraf schelen. Daarom proberen we u middels deze blog over de streep te trekken en vertellen we u waarom investeren in cyberweerbaarheid een must is.

U hoeft geen doelwit te zijn

Rondom cyberweerbaarheid zien we vaak dat er sprake is van een ‘optimistic bias’. Dat betekent dat wij mensen vaak genegen zijn op uit te gaan van positieve scenario’s. Dit heeft tot gevolg dat iemand zich wel bewust is van een risico, maar zichzelf veel minder vatbaar acht om slachtoffer te worden dan anderen. Cybercriminaliteit wordt wel als een (groot) maatschappelijk risico gezien, maar dat het iemand persoonlijk overkomt, ziet men niet snel gebeuren.

De gedachte dat uzelf niet interessant genoeg bent voor hackers, gaat helaas niet (meer) op. Een aanval hoeft namelijk helemaal niet specifiek op u gericht te zijn. Geautomatiseerde cyberaanvallen richten zich op talloze doelwitten tegelijkertijd. Cybercriminelen gebruiken software die automatisch op zoek gaat naar kwetsbaarheden in systemen. Vergelijk het met een inbreker die op zoek gaat naar openstaande deuren en ramen, waardoor de inbreker makkelijk naar binnen kan.

Voorkomen van dit soort aanvallen is relatief eenvoudig. Daarbij kunt u onder andere denken aan regelmatige back-ups maken en controleren, up-to-date systemen onderhouden, het gebruik van sterke wachtwoorden en deze regelmatig vervangen.

Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het  stappenplan

Wettelijke verplichting: AVG

De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om verantwoord en veilig met persoonsgegevens om te gaan. Ook personeelsgegevens zijn persoonsgegevens, dus ook daarop is de AVG van kracht. Maar ook als u bijvoorbeeld een nieuwsbrief verstuurt, moet u rekening houden met de regels uit de AVG.

Een lijst met persoonsgegevens is interessant voor hackers omdat die bijvoorbeeld verkocht kan worden aan spammers. Ook voor identiteitsfraude is een dergelijke lijst soms interessant. Een recent voorbeeld zijn de gegevens die uit de GGD systemen werd gehaald en werden doorverkocht. Daarom is het belangrijk om de toegang tot gevoelige gegevens te beschermen. Laat alleen collega’s die er bij moeten, er bij (need to know). Daar bovenop kunt u deze gegevens versleutelen. U leest meer over het beschermen van persoonsgegevens of de website van de Autoriteit Persoonsgegevens.

Voorkom stilstand

Het laatste dat u wilt is dat uw onderneming stil komt te liggen. Echter, als u niet voldoende cyberweerbaar bent, ligt dit risico wel degelijk op de loer. Stel, u kunt door een hack niet meer bij bedrijfsadministratie? Of uw systemen lopen vast en uw productie kan niet doordraaien. Als u uw cyberweerbaarheid beter op orde heeft, kunt u dit voorkomen, of op zijn minst de impact beperken.

Wat heeft u te verliezen?

Als u nu een inschatting zou moeten maken, wat denkt u dan te kunnen verliezen bij een cyberincident? Het ware antwoord is in ieder geval vaak meer dan u denkt. Dit zit hem niet alleen in daadwerkelijke kosten, maar ook in reputatieschade. Elk bedrijf heeft iets te verliezen, dat kunnen daadwerkelijke orders zijn of zelfs (het vertrouwen van) klanten.

Kosten zitten bovendien niet alleen in de misgelopen omzet omdat uw (productie)processen stil liggen, maar ook in herstelkosten. U moet wellicht uw relaties gaan informeren, een IT-specialist inhuren om het een en ander te herstellen en eventuele boetes en schadevergoedingen betalen. En dan hebben we het nog niet eens over de investering aan tijd die dit kost. Kortom, voorkomen is veel beter dan genezen.

Hoe investeert u in cyberweerbaarheid?

Heel leuk allemaal en het belang is duidelijk. Maar dan komt de vraag: hoe? Hoe investeer ik in cyberweerbaarheid. Hoe zorg ik dat informatiebeveiliging effectief geregeld is mijn organisatie? Een managementsysteem voor informatiebeveiliging helpt u binnen uw organisatie richtlijnen op te stellen rondom informatiebeveiliging en de eerste stappen te zetten in het voldoen aan privacywetgeving.   ISO 27001 is het managementsysteem voor informatiebeveiliging en is een wereldwijd erkende norm. Het helpt u bij het opstellen van een managementsysteem voor informatiebeveiliging en daarmee laat u zien dat u voldoet aan alle eisen rondom informatiebeveiliging.

Naast ISO 27001 zijn er nog diverse andere managementsystemen op het gebied van cybersecurity die allen hun eigen aandachtsgebied hebben. Op IT (informatie techniek) gebied is er bijvoorbeeld de ISO 27701 (specifiek gericht op privacy), NEN 7510 (Informatiebeveiliging in de zorg) of ISO 27017 en ISO 27018 (cloud toepassingen). Voor de Operationele Technologie (OT en IIOT) is de wereldwijd toegepaste norm IEC 62443 ontwikkeldMet een IEC 62443 certificaat kunt u aantonen dat uw (componenten binnen uw) productieproces goed gewapend is (zijn) tegen dreigingen van cyberaanvallen op uw systemen en installaties. Over de diverse soorten en smaken leest u hier.

Een informatiebeveiligingssysteem opstellen, waar begin ik?

U bent eruit, u wilt investeren in optimale informatiebeveiliging. Maar het blijft lastig om te bepalen wat u begint en welke vervolgstappen er zijn? Daarbij is het zoeken naar de juiste balans tussen technische kennis, zorgen voor acceptatie en adoptie bij collega’s en succesvol een managementsysteem op zetten? Onze experts ontwikkelden een praktisch ISO 27001 stappenplan om uw stap voor stap te helpen uw doel te bereiken.

Download hier het ISO 27001 stappenplan. 

New Call-to-action

Meer weten over andere managementsystemen met betrekking tot cybersecurity?

Lees er hier meer over

Onderwerpen:

Kennis van KAM Alle onderwerpen Normkennis Certificeren ISO 27001 informatiebeveiliging privacywetgeving cybersecurity IEC 62443 nen 7510 ISAE 3000 ISAE 3402 ISO 27701

mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland