In het teken van de Alert Online Maand zijn we alweer aangekomen bij de 4e CYSSEC blog! Mocht je het nog niet hebben gezien; CYSSEC organiseert 12 november van 15:00-18:00 een sessie op het Schipholgebouw. Deze sessie staat in het teken van een presentatie door Europol's European Cybercrime Center, en wordt afgesloten met een pub quiz. Meld je aan via de Spot-eventpagina, of mail naar cyssec@schiphol.nl.

Veel leesplezier!

Cybersecurity als onderscheidende factor

Een ‘cybersecurity profiel’

De wereld van cybersecurity en cybercriminaliteit verandert snel en daarmee blijft ook het vakjargon zich ontwikkelen. Een relatief nieuw concept is het ‘cybersecurity profiel’. Met een cybersecurity profiel wordt ‘de algehele staat en sterkte van de cybersecurity van een organisatie’ bedoeld. Een holistische benadering is nodig om daadwerkelijk een idee te krijgen van het risico dat een organisatie loopt om slachtoffer te worden van een cybersecurity incident. Uit deze gedachtegang is het concept van een cybersecurity profiel ontstaan. Zo’n profiel omvat naast de IT-infrastructuur ook de staat en het functioneren van applicaties en processen, en het menselijk gedrag van de werknemers.

Belanghebbenden en concurrenten

Belanghebbenden (zoals aandeelhouders en leveranciers) willen steeds meer weten over het risico waaraan een bedrijf wordt blootgesteld, zo:

• Verlangt men bij het uitbrengen van een aanbesteding steeds meer informatie over het cybersecurity profiel;
• Willen aandeelhouders weten hoe veilig hun investeringen in jouw aandelen zijn en hierbij willen zij weten wat jouw cyberrisico’s zijn;
• Willen leveranciers en partners weten welk risico jij vormt voor hun eigen cybersecurity profiel wanneer jullie (samen) zaken doen;
• Willen verzekeraars weten hoe risicovol het is om jouw organisatie te verzekeren en hoe de premies voor het verzekeren van een cybersecurity- incident moeten worden bepaald.

Ketenafhankelijkheid

Wanneer je gemakkelijk jouw cybersecurity-risico(‘s) kunt kwantificeren en communiceren, ontstaat er een zakelijk voordeel ten opzichte van concurrenten. Op het moment dat men gemakkelijk jouw cybersecurity (risico)profiel kan inzien, wekt dit vertrouwen op. Het is daarbij ook van belang om de cybersecurity profielen van anderen te kennen, bijvoorbeeld in onderstaande situaties:

• Risicobeheer van leveranciers: Connectiviteit creëert het risico van ketenafhankelijkheid; je ‘erft’ risico’s van jouw leveranciers, met name degenen die toegang hebben tot jouw netwerk, systemen en/of data. De mogelijkheid om het cybersecurity profiel van een supply chain te meten, stelt je in staat om de dekking van het leveranciersrisicobeheer kosteneffectief te schalen, waardoor je je (makkelijker) kan concentreren op de meest risicovolle leveranciers.
• Fusies en overnames: het komt geregeld voor dat grote organisaties het slachtoffer worden van een veiligheidsinbreuk doordat zij een organisatie hebben overgenomen (zo werd PayPal bijvoorbeeld het slachtoffer van een incident nadat zij TIO Networks had overgenomen). Een goed begrip van het cybersecurity profiel zou onderdeel moeten zijn van de due diligence van een fusie of overname.
• Kredietrisico: wanneer organisaties hun krediet uitstrekken naar een andere organisatie, is het standaardpraktijk om een krediet risico analyse uit te voeren. Indien één van jouw klanten bijvoorbeeld een datalek ervaart kan dit directe en ernstige gevolgen hebben voor hun mogelijkheid om te betalen.

Kortom

Veel ondernemers ervaren cybersecurity als een noodzakelijk kwaad en zien niet in dat het als een onderscheidende factor kan werken t.o.v. concurrenten. Zoals in dit artikel is uitgelegd, is hiervoor een goed begrip van ‘het cybersecurity profiel’ van een onderneming nodig. Hieronder valt niet alleen de IT-infrastructuur, maar ook het gedrag van de medewerkers. Het wekt vertrouwen op bij belanghebbenden als je met een cybersecurity profiel snel en op transparante wijze inzage kan geven in de staat van cybersecurity, in de meest brede zin, binnen jouw organisatie.