Betere beheersing digitale risico’s leidt tot veiliger zaken doen
5 juli 2012 -
Organisaties zijn zich onvoldoende bewust van de cyberrisico’s die zij lopen en de mogelijkheden om deze risico’s te beheersen. Door deze risico’s te betrekken in het crisis- en risicomanagementplan, kunnen zij de financiële gevolgen van datadiefstal en ICT-storingen beperken. Sommige bestaande verzekeringen bieden al deeloplossingen, maar er zijn inmiddels ook diverse specifieke cyberpolissen op de markt.
Dat stelt Aon in de Whitepaper ‘Cyberrisico’s onder controle? Risicomanagement in het digitale tijdperk’. Bedrijven en overheid worden steeds afhankelijker van de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van informatie. Door digitale inbraken of technische problemen ontstaat hierin een steeds groter risico. Met name de mogelijkheden tot beheersen en bestrijden van (financiële) risico’s zijn bij veel organisaties onvoldoende bekend, stelt Aon.
Niet alleen een ICT-vraagstuk
Digitale problemen beginnen vaak als ICT-vraagstuk, maar steeds vaker komt ook de bedrijfscontinuïteit en het imago in het geding. Uit onderzoek van TNO blijkt dat cybercrime de Nederlandse samenleving jaarlijks ten minste tien miljard euro kost, waarvan circa driekwart voor rekening komt van het bedrijfsleven. Met een betere beheersing van de risico’s kan veel geld worden bespaard. Aon adviseert organisaties de cyberrisico’s die zij lopen te analyseren, waar mogelijk te beheersen en te bestrijden met structureel risico- en crisismanagement.
Controle verzekeringsportefeuille
Hoe goed organisaties hun ICT-systemen ook beveiligen, 100 procent veiligheid is niet haalbaar. Toch hoeft een incident niet te betekenen dat de bedrijfsvoering tijdelijk of definitief stil komt te liggen. Peter Hartman, Managing Director Innovation bij Aon Risk Solutions en een van de auteurs van de whitepaper, adviseert organisaties daarom te onderzoeken in hoeverre zij naast andere beheersmaatregelen met (bestaande) verzekeringen de mogelijke schade kunnen beperken.
"Diverse verzekeraars bieden cyberverzekeringen aan," zegt Hartman. "Deze zijn echter vooral geschikt voor organisaties die al in belangrijke mate zich tegen de risico’s hebben beschermd. Daarnaast kunnen bestaande bedrijfsverzekeringen de risico’s, in ieder geval gedeeltelijk, afdekken. Door een individuele risico-inventarisatie kan een cyberrisicoprofiel worden opgesteld. Op basis hiervan kan worden vastgesteld welke risico's beperkt kunnen worden en welke restrisico's verzekerd dienen te worden."
Hartman adviseert organisaties de bestaande verzekeringsportefeuille goed te bestuderen. "Sommige verzekeraars sluiten dekking tegen bepaalde risico’s uit. Soms zijn zij echter wel bereid om uitgebreidere dekking te bespreken of een verzekering op maat samen te stellen."
Inrichting cyberrisicomanagementsysteem Aon wijst organisaties er in de whitepaper verder op dat verzekeren alleen niet voldoende is. Een cyberrisicomanagementsysteem helpt de risico’s in te schatten en zorgt ervoor dat organisaties voorbereid zijn als er toch iets mis gaat. Daarin moet ook aandacht zijn voor de verdeling van taken en verantwoordelijkheden, stelt Hartman. "Cyberrisico’s zijn niet de verantwoordelijkheid van de afdeling ICT of security alleen. Het betreft een verantwoordelijkheid voor heel de organisatie, maar begint bij de directiekamer."
