Cyber veiligheid moet hoog op de bestuursagenda bij elke organisatie, gesteund door de overheid
Cyber veiligheid moet hoog op de bestuursagenda bij elke organisatie, gesteund door de overheid
vrijdag 17 januari 2020 Recente incidenten rond ransomware bij onder andere de Universiteit van Maastricht en Travelex en kwetsbaarheden in Citrix-producten die overheidsorganisaties, bedrijven en ziekenhuizen hebben getroffen, tonen nog maar eens aan dat aandacht voor veiligheid niet mag verslappen en dat kennisdelen over actuele kwetsbaarheden en wat daaraan te doen noodzakelijk is.
De overheid heeft hierbij een rol. Bijvoorbeeld bij het vergaren en verifiëren van informatie over kwetsbaarheden uit verschillende bronnen en het geven van advies. Dat doet o.a. het Nationaal Cyber Security Center (NCSC). Op het punt van verspreiden van informatie, zeker naar organisaties die niet tot het Rijk of de vitale bedrijven behoren, valt nog wel wat te verbeteren, al zet het Digital Trust Center (DTC) wel stapjes in die richting. Door de omvang van de groep bedrijven en organisaties die buiten de scope van het NCSC en binnen die van het DTC vallen, zo’n 1,8 miljoen in Nederland, is het echter onwaarschijnlijk dat dit een sluitende oplossing gaat zijn. Om nog maar niet te spreken over de enorme diversiteit aan digitale situaties en expertise van het eigen personeel bij al die bedrijven en organisaties. Dat zal een overheid nooit in haar eentje kunnen gaan oplossen, en dat mag denk ik ook niet van haar worden verwacht.
Dus kunnen en mogen ook bedrijven en andere organisaties niet achteroverleunen. Hun veiligheid, en dat van de producten en diensten die ze leveren en gebruiken, is in eerste instantie hún verantwoordelijkheid!
Die verantwoordelijkheid ligt uiteindelijk bij de bestuurders van de bedrijven en organisaties, ongeacht hun sector of omvang. Mijn inschatting is dat in veel van die besturen de aandacht voor veiligheidsmaatregelen omhoog mag, maar het is steeds een afweging tussen verschillende belangen. Continuïteit van dienstverlening, investeringen in nieuwe producten, kanalen en mensen, compliance met veranderende wet- en regelgeving en vele andere belangen, kansen en risico’s wegen allemaal mee. Uiteindelijk is het aan een bestuur om de juiste afweging te maken en resources (mensen en middelen) beschikbaar te stellen. Het gewicht dat cyber veiligheid maatregelen in de schaal legt, is misschien moeilijker te bepalen dan die van andere componenten in die afweging. Bijvoorbeeld omdat er minder ervaring mee is, of omdat een deel van de schade van een cyber incident niet bij het eigen bedrijf ligt, maar elders in de keten, of in de maatschappij.
Daar zou iets aan moeten worden gedaan. Zeker als ketenpartners of maatschappelijke belangen in het gedrang komen door onjuiste weging en daaropvolgende (in)actie van het bestuur van één bedrijf in de keten. Zodat bijvoorbeeld bij een besluit over het al dan niet patchen van software niet alleen wordt gekeken naar de kosten die gepaard gaan met downtime van het eigen proces, maar ook naar de kosten voor het eigen bedrijf, ketenpartners en samenleving als via de ongepatchte software de organisatie komt stil te liggen. Daar moeten de bestuurders van bedrijven en organisaties vandaag de dag ook rekening mee houden. Of dat nu een overslagbedrijf is, of een leverancier van software, van grondstoffen of van financiële diensten, dat doet er niet toe.
Als CIO Platform Nederland dragen we bij aan het ontwikkelen van deze verantwoordelijkheid bij bedrijven en organisaties door ze de mogelijkheid te bieden van elkaar te leren en kennis en ervaring te delen in een vertrouwde setting. Dat doen we onder andere door sessies op strategisch niveau voor CIO’s en CDO’s en op operationeel niveau voor (chief) information security officers van onze leden. Daarnaast vertegenwoordigen we in diverse gremia de belangen onze leden op dit terrein.
Ronald Verbeek
Directeur CIO Platform Nederland
Dus kunnen en mogen ook bedrijven en andere organisaties niet achteroverleunen. Hun veiligheid, en dat van de producten en diensten die ze leveren en gebruiken, is in eerste instantie hún verantwoordelijkheid!
Die verantwoordelijkheid ligt uiteindelijk bij de bestuurders van de bedrijven en organisaties, ongeacht hun sector of omvang. Mijn inschatting is dat in veel van die besturen de aandacht voor veiligheidsmaatregelen omhoog mag, maar het is steeds een afweging tussen verschillende belangen. Continuïteit van dienstverlening, investeringen in nieuwe producten, kanalen en mensen, compliance met veranderende wet- en regelgeving en vele andere belangen, kansen en risico’s wegen allemaal mee. Uiteindelijk is het aan een bestuur om de juiste afweging te maken en resources (mensen en middelen) beschikbaar te stellen. Het gewicht dat cyber veiligheid maatregelen in de schaal legt, is misschien moeilijker te bepalen dan die van andere componenten in die afweging. Bijvoorbeeld omdat er minder ervaring mee is, of omdat een deel van de schade van een cyber incident niet bij het eigen bedrijf ligt, maar elders in de keten, of in de maatschappij.
Daar zou iets aan moeten worden gedaan. Zeker als ketenpartners of maatschappelijke belangen in het gedrang komen door onjuiste weging en daaropvolgende (in)actie van het bestuur van één bedrijf in de keten. Zodat bijvoorbeeld bij een besluit over het al dan niet patchen van software niet alleen wordt gekeken naar de kosten die gepaard gaan met downtime van het eigen proces, maar ook naar de kosten voor het eigen bedrijf, ketenpartners en samenleving als via de ongepatchte software de organisatie komt stil te liggen. Daar moeten de bestuurders van bedrijven en organisaties vandaag de dag ook rekening mee houden. Of dat nu een overslagbedrijf is, of een leverancier van software, van grondstoffen of van financiële diensten, dat doet er niet toe.
Als CIO Platform Nederland dragen we bij aan het ontwikkelen van deze verantwoordelijkheid bij bedrijven en organisaties door ze de mogelijkheid te bieden van elkaar te leren en kennis en ervaring te delen in een vertrouwde setting. Dat doen we onder andere door sessies op strategisch niveau voor CIO’s en CDO’s en op operationeel niveau voor (chief) information security officers van onze leden. Daarnaast vertegenwoordigen we in diverse gremia de belangen onze leden op dit terrein.
Ronald Verbeek
Directeur CIO Platform Nederland
Kick off sessie CxO’s in de Maritieme sector | Data in het haven-ecosysteem
19 juli 2024 Kennisdelen op digitaliseringsonderwerpen die relevant zijn in de maritieme sector. Bijeenkomsten worden georganiseerd door/in samenwerking met CIO Platform Nederland en zijn toegankelijk voor organisaties die kennis willen delen over inhoudelijke vraagstukken. lees verderEven terug kijken op het eerste half jaar van 2024
12 juli 2024 Een mooie zomerblog van ons nieuwe bestuurslid Edward Cox, tevens Algemeen Directeur Louwman Group Services. Fijne zomer! lees verderJaardag 2024, de aftermovie
08 juli 2024 Een record aantal leden van CIO Platform Nederland kwam op 6 juni bijeen om samen de waardevolle en gezellige Jaardag van onze community te vieren onder de noemer 'Elevate your Digital Transformation'. Bekijk hier de aftermovie. lees verderBlog: ProRail sponsort de volgende generatie IT’ers
21 juni 2024 De mini Rubik’s Cube had ik binnen no-time weer opgelost en de doolhof-sleutelhangers waren zo kapot, maar de bèta-Olympiade daarentegen is in mijn herinnering niet stuk te krijgen. Daar ben ik vast de enige niet in. Knik als er nu ook warme herinneringen bij je naar boven komen. lees verder