Afgelopen weekend viel in een van de dagbladen te lezen dat uit onderzoek was gebleken dat de informatieveiligheid bij het bedrijfsleven een vier krijgt!
Een vier!
Een vier! U leest het goed, een vier uit maximaal tien punten wel te verstaan. Om van dat cijfer even bij te komen heb ik onder het genot van een kop koffie daar eens verder over zitten redeneren.
Want wat betekent dit cijfer nu concreet oor het midden- en klein bedrijf:
- We zijn niet voorbereid op enige vorm van bedreiging
- We zijn niet bewust van de gevolgen van deze potentiele bedreigingen
- We zijn niet bewust van de verantwoordelijkheden die we dragen m.b.t. gegevens die we verzamelen
Dat is nogal een lijst aan gebreken, het is zo ongeveer als autorijden zonder rijbewijs, alleen is dit nog niet strafbaar. Dat gaat wel komen met de nieuwe Europese data bescherming wetgeving (GDPR)!
(daarover in een later blog meer)
Wat kost dat dan?
Er is uitgerekend dat de schade die inbreuk in een systeem oplevert een aantal gevolgen heeft. Daarbij wordt gerekend met $141,- per verloren record. Als je een bestand met een paar duizend records verliest tikt dat aardig aan. Deze direct schade wordt omgerekend naar de kosten die direct noodzakelijk zijn om de productie weer te kunnen herstellen en compensatie voor die gene waarop privacy inbreuk heeft plaatsgevonden te kunnen compenseren. Het goede nieuws is dat deze relatieve kosten momenteel dalen door het verbeteren van de bedrijfsautomatisering (investeer dus!).
lange termijn schade
Er is echter nog een grotere schadepost maar dan ééntje die je niet kunt afkopen. We hebben het over productiviteitsverlies en reputatieschade. Het productiviteitsverlies is de afgelopen weken zeer duidelijk geworden bij het rondgaan van de laatste cryptolocker malware. Dagenlang heeft de container terminal van Maersk in Rotterdam stil gelegen, de schade moet nog duidelijk worden maar dat deze groot is kunnen we wel raden. Afhankelijk van de bedrijfsgrootte levert dat dus een keten van problemen op die eerst verholpen moet worden voor productie hervat kan worden. Dan duurt het vaak ook nog even, dagen tot weken, voordat deze weer op het juiste niveau is. Waar het gaat over reputatieschade en herstel daarvan hebben we het over een veel langere periode. Daarbij moet je denken aan een hersteltijd van een jaar om de reputatieschade te kunnen vereffenen. Een inbreuk levert dus een stilstand van een jaar op in groei en dus waardeontwikkeling van een bedrijf!
De feiten
Deze constateringen worden ook gedragen door het Ponemon Institute ( http://www.ponemon.org ) , een autoriteit in de wereld van onderzoek naar privacy, informatieveiligheid en veiligheidsbeleid.
Die komen tot de costatering dat de grootste bedreigingen voor het midden- en kleinbedrijf zijn:
- Bezit en ongebreidelde verspreiding van grote hoeveelheden ongestructureerde data
- We hebben enorme archieven met spreadsheets, naam en adresgegevens van leveranciers en klanten, telefoon lijstjes, offertes, presentaties, etc.
- We weten niet meer waar data blijft, wie inzicht heeft en met wie we dingen gedeeld hebben. Daarmee is ook de verantwoordelijkheid voor het zorgvuldig beheren van die gegevens de deur uit.
- Gebrek aan inzicht in de paraatheid voor het bestrijden van een inident
- We besteden geen tijd aan het evalueren van een voorbereiding, sterker nog we hebben vaak geen idee waarop we ons moeten voorbereiden
- Als je niet voorbereid, dan heb je ook geen inzicht in de effectiviteit van je aanpak. Daardoor zul je op het moment dat er een incident is alles moeten leren en er vaak achter komen dat je te weinig aan voorbereiding hebt gedaan. Dat heeft catastrofale gevolgen voor de hervatting van je bedrijfsprocessen.
Misschien nog goed om te benoemen dat ik niet hou van het verspreiden van een boodschap waarin angst wordt aangejaagd. Laten we het vooral bij de feiten houden. Echter van deze feiten mogen we tot de conclusie komen dat het cijfer ver onder de maat is. In Nederland, waar we van ons zelf graag zeggen dat we het goed voor elkaar hebben, laten we hier toch enorme steken vallen. En dat terwijl we er heel eenvoudig wat aan kunnen doen. Aan de slag!
#staySafe
