Cyber veiligheid moet hoog op de bestuursagenda bij elke organisatie, gesteund door de overheid
Cyber veiligheid moet hoog op de bestuursagenda bij elke organisatie, gesteund door de overheid
17 januari 2020 Recente incidenten rond ransomware bij onder andere de Universiteit van Maastricht en Travelex en kwetsbaarheden in Citrix-producten die overheidsorganisaties, bedrijven en ziekenhuizen hebben getroffen, tonen nog maar eens aan dat aandacht voor veiligheid niet mag verslappen en dat kennisdelen over actuele kwetsbaarheden en wat daaraan te doen noodzakelijk is.
De overheid heeft hierbij een rol. Bijvoorbeeld bij het vergaren en verifiëren van informatie over kwetsbaarheden uit verschillende bronnen en het geven van advies. Dat doet o.a. het Nationaal Cyber Security Center (NCSC). Op het punt van verspreiden van informatie, zeker naar organisaties die niet tot het Rijk of de vitale bedrijven behoren, valt nog wel wat te verbeteren, al zet het Digital Trust Center (DTC) wel stapjes in die richting. Door de omvang van de groep bedrijven en organisaties die buiten de scope van het NCSC en binnen die van het DTC vallen, zo’n 1,8 miljoen in Nederland, is het echter onwaarschijnlijk dat dit een sluitende oplossing gaat zijn. Om nog maar niet te spreken over de enorme diversiteit aan digitale situaties en expertise van het eigen personeel bij al die bedrijven en organisaties. Dat zal een overheid nooit in haar eentje kunnen gaan oplossen, en dat mag denk ik ook niet van haar worden verwacht.
Dus kunnen en mogen ook bedrijven en andere organisaties niet achteroverleunen. Hun veiligheid, en dat van de producten en diensten die ze leveren en gebruiken, is in eerste instantie hún verantwoordelijkheid!
Die verantwoordelijkheid ligt uiteindelijk bij de bestuurders van de bedrijven en organisaties, ongeacht hun sector of omvang. Mijn inschatting is dat in veel van die besturen de aandacht voor veiligheidsmaatregelen omhoog mag, maar het is steeds een afweging tussen verschillende belangen. Continuïteit van dienstverlening, investeringen in nieuwe producten, kanalen en mensen, compliance met veranderende wet- en regelgeving en vele andere belangen, kansen en risico’s wegen allemaal mee. Uiteindelijk is het aan een bestuur om de juiste afweging te maken en resources (mensen en middelen) beschikbaar te stellen. Het gewicht dat cyber veiligheid maatregelen in de schaal legt, is misschien moeilijker te bepalen dan die van andere componenten in die afweging. Bijvoorbeeld omdat er minder ervaring mee is, of omdat een deel van de schade van een cyber incident niet bij het eigen bedrijf ligt, maar elders in de keten, of in de maatschappij.
Daar zou iets aan moeten worden gedaan. Zeker als ketenpartners of maatschappelijke belangen in het gedrang komen door onjuiste weging en daaropvolgende (in)actie van het bestuur van één bedrijf in de keten. Zodat bijvoorbeeld bij een besluit over het al dan niet patchen van software niet alleen wordt gekeken naar de kosten die gepaard gaan met downtime van het eigen proces, maar ook naar de kosten voor het eigen bedrijf, ketenpartners en samenleving als via de ongepatchte software de organisatie komt stil te liggen. Daar moeten de bestuurders van bedrijven en organisaties vandaag de dag ook rekening mee houden. Of dat nu een overslagbedrijf is, of een leverancier van software, van grondstoffen of van financiële diensten, dat doet er niet toe.
Als CIO Platform Nederland dragen we bij aan het ontwikkelen van deze verantwoordelijkheid bij bedrijven en organisaties door ze de mogelijkheid te bieden van elkaar te leren en kennis en ervaring te delen in een vertrouwde setting. Dat doen we onder andere door sessies op strategisch niveau voor CIO’s en CDO’s en op operationeel niveau voor (chief) information security officers van onze leden. Daarnaast vertegenwoordigen we in diverse gremia de belangen onze leden op dit terrein.
Ronald Verbeek
Directeur CIO Platform Nederland
Dus kunnen en mogen ook bedrijven en andere organisaties niet achteroverleunen. Hun veiligheid, en dat van de producten en diensten die ze leveren en gebruiken, is in eerste instantie hún verantwoordelijkheid!
Die verantwoordelijkheid ligt uiteindelijk bij de bestuurders van de bedrijven en organisaties, ongeacht hun sector of omvang. Mijn inschatting is dat in veel van die besturen de aandacht voor veiligheidsmaatregelen omhoog mag, maar het is steeds een afweging tussen verschillende belangen. Continuïteit van dienstverlening, investeringen in nieuwe producten, kanalen en mensen, compliance met veranderende wet- en regelgeving en vele andere belangen, kansen en risico’s wegen allemaal mee. Uiteindelijk is het aan een bestuur om de juiste afweging te maken en resources (mensen en middelen) beschikbaar te stellen. Het gewicht dat cyber veiligheid maatregelen in de schaal legt, is misschien moeilijker te bepalen dan die van andere componenten in die afweging. Bijvoorbeeld omdat er minder ervaring mee is, of omdat een deel van de schade van een cyber incident niet bij het eigen bedrijf ligt, maar elders in de keten, of in de maatschappij.
Daar zou iets aan moeten worden gedaan. Zeker als ketenpartners of maatschappelijke belangen in het gedrang komen door onjuiste weging en daaropvolgende (in)actie van het bestuur van één bedrijf in de keten. Zodat bijvoorbeeld bij een besluit over het al dan niet patchen van software niet alleen wordt gekeken naar de kosten die gepaard gaan met downtime van het eigen proces, maar ook naar de kosten voor het eigen bedrijf, ketenpartners en samenleving als via de ongepatchte software de organisatie komt stil te liggen. Daar moeten de bestuurders van bedrijven en organisaties vandaag de dag ook rekening mee houden. Of dat nu een overslagbedrijf is, of een leverancier van software, van grondstoffen of van financiële diensten, dat doet er niet toe.
Als CIO Platform Nederland dragen we bij aan het ontwikkelen van deze verantwoordelijkheid bij bedrijven en organisaties door ze de mogelijkheid te bieden van elkaar te leren en kennis en ervaring te delen in een vertrouwde setting. Dat doen we onder andere door sessies op strategisch niveau voor CIO’s en CDO’s en op operationeel niveau voor (chief) information security officers van onze leden. Daarnaast vertegenwoordigen we in diverse gremia de belangen onze leden op dit terrein.
Ronald Verbeek
Directeur CIO Platform Nederland