Cybersecurity: een dreiging is nog geen risico

Cybercriminaliteit is een van de grootste vormen van criminaliteit. Daar kunnen wij als BDO helaas niets aan veranderen. En onze klanten ook niet. Dat is de (digitale) wereld waarin wij leven. Die dreiging is 24/7 aanwezig, maar de vraag is wanneer die dreiging daadwerkelijk een risico is voor uw organisatie? En als u risico loopt, wat is dan de mogelijke impact?

“Of uw organisatie nu de algemene risico’s in kaart wil brengen, specifieke cyberdreigingen wil inschatten of wil voldoen aan wet- en regelgeving. De vraag is vooral: wat is voor úw organisatie echt belangrijk? Het is dus zaak voor uzelf vast te stellen, waar schuilen onze cyber-risico's?”, vervolgt Robert van Vianen, Partner BDO Digital Risk Services.

Dreiging nog geen risico

Van Vianen spreekt liever van een dreigingsanalyse dan een risicoanalyse. “Een dreiging is niet meteen een risico. Pas bij het bepalen van je ‘bruto-risico’, kun je de kans op impact inschatten. Een ransomware-aanval is een dreiging, maar wat is de kans dat het gebeurt en wat zou de impact zijn op uw organisatie? Als die kans bijvoorbeeld hoog is en impact ook, dan spreken we van een risico. Dit wordt groter naarmate zaken niet goed geregeld zijn.”

Gaat het daadwerkelijk om een risico? Dan is de volgende stap: vaststellen welke beheersmaatregelen reeds zijn genomen. Zijn die volledig dekkend, die deels dekkend of helemaal nog niet? “In het laatste geval is het belangrijk om voor het specifieke element een beheersmaatregel op te stellen en te implementeren. Deels of bestaande maatregelen toetsen we op de werking. En dan zijn er altijd nog restrisico's, want 100% dekkend is onmogelijk. Het bestuur, de afdelingsverantwoordelijke en/of de CISO bepaalt in hoeverre die restrisico’s acceptabel zijn en actie vereisen.” 

Beheersmaatregelen aantonen

BDO kan organisaties ondersteunen bij het implementeren van die beheersmaatregelen. “Met onze audit-expertise kunnen we ook helpen bij het aantoonbaar maken dat een organisatie voldoet aan wet- en regelgeving of een normenkader”, voegt Vianen toe. “En dat kan heel breed zijn. Bij al die elementen kunnen wij de klanten ondersteunen om ze certified ready te maken. Voor alle mogelijke dreigingen hebben wij passende raamwerken om te laten zien welke dreigingen van toepassing zijn voor specifieke situaties.”

Een element dat volgens Van Vianen nog weleens wordt onderschat, is de impact van toeleveranciers op de cybersecurity van organisaties. “Je kunt er niet blind op vertrouwen dat alle partijen in de keten hun zaakjes voor elkaar hebben, vooral niet als het gaat om een IT-leverancier. Onderschat ook niet de impact van een kritiek element vanuit het systeem van ‘kleinere’ leveranciers. Met de komst van NIS2 worden organisaties wel gedwongen om het cybersecurityniveau van hun hele toeleveranciersketen in kaart te brengen, en daarmee de impact van eventuele incidenten op hun eigen processen te bepalen.”

Niet als verplichting zien

Van Vianen wijst ook op een drietal aandachtspunten die niet zozeer met de technische elementen te maken hebben, maar meer met het menselijke aspect. “De awareness over het belang van cybersecurity is in menig organisatie voor verbetering vatbaar. Verder leert de ervaring dat nieuwe wetgeving, zoals NIS2, als verplichting wordt gezien, terwijl het in dit complexe speelveld juist helpt om door de bomen het bos te zien. Voor effectieve cybersecurity is het voor organisaties van belang om zelf in control te wíllen zijn. Ook signaleren we een afwachtende houding ten opzichte van nieuwe wet- en regelgeving, terwijl een gedegen voorbereiding juist zo belangrijk is. Voor NIS2, bijvoorbeeld, is het echt zaak nu te starten met een dreigingsanalyse.” 

Kans op impact in kaart brengen

Met een team van cybersecurity-adviseurs, technische specialisten, risicomanagers en juridische experts kan BDO de kans op impact voor uw organisatie per afdeling in kaart brengen. “Vervolgens stellen we vast: gaat het om een grote, middelgrote of geen relevante dreiging? En dan starten we met het inventariseren en toetsen van bestaande beheersmaatregelen. Als een beheersmaatregel niet voldoet, kunnen wij helpen die opnieuw te implementeren.”

De kracht van BDO is volgens Van Vianen niet alleen het meedenken over die dreigingen, maar ook het ‘uitdagen van de klant over de werkelijke impact van dreigingen. “Misschien is de impact op een bepaald technisch, menselijk, organisatorische of fysiek beveiligingselement wel veel groter dan ze aanvankelijk dachten. Aan de hand van voorbeelden brengen wij onze klanten op het juiste spoor. Onze assessments schudden organisaties wakker, maar stellen ze ook vaak gerust, want in elke situatie zijn genoeg oplossingsrichtingen. Een goede risico-inventarisatie, of dreigingsanalyse, is dan wel essentieel. Breng voor uw organisatie in kaart wat de dreigingen zijn, welke risico’s die opleveren en wat ervoor nodig is om die te beheersen. En dan bent u al een eind op de goede weg.”