Ondernemer onderschat nog altijd het belang van informatiebeveiliging

Tuesday, March 29, 2016

Het is niet meer de vraag of ondernemers digitale aanvallen zullen ondervinden, maar de vraag is slechts wanneer. Informatiebeveiliging staat ondanks dagelijkse berichten over DDoS-aanvallen, datagijzeling en datalekken niet altijd hoog op de agenda van ondernemers.

160329105025271115Brunel0426fbshrink640x0

Ondernemers zien over het algemeen niet op welke manier IT de bedrijfsvoering ondersteunt. Met als resultaat dat informatiebeveiliging in de meeste gevallen geen onderdeel uit maakt van het primaire bedrijfsproces. Arjen Kamphuis, Information Security Expert bij Brunel: "Het midden- en kleinbedrijf sluiten een brandverzekering af voor het geval er ooit een keer brand uitbreekt, niet omdat men het verwacht. Ondernemers zouden ook moeten investeren in kennis en maatregelen die gericht zijn op het voorkomen van digitale branden."

Waarde informatie onderschat

De reden dat informatiebeveiliging geen onderdeel uitmaakt van het primaire bedrijfsproces is de neiging van het MKB om de waarde van hun kennis of commerciële informatie te onderschatten en dus te denken dat men niet interessant is als doelwit van een digitale aanval. Volgens Kamphuis blijkt uit de praktijk, dat juist door het ontbreken van elementaire beveiligingsmaatregelen, dergelijke ondernemingen een aantrekkelijk doelwit zijn. Het is daarom van belang informatiebeveiliging niet als een op zichzelf staand proces te zien, maar als voorwaardenscheppend voor andere bedrijfsprocessen. Informatiebeveiligingsbeleid kent in de praktijk drie aspecten: 1) bewustzijn en discipline van medewerkers, 2) protocollen, richtlijnen en toezicht op compliancy en 3) een set technische beveiligingsmaatregelen. "Met iets eenvoudigs als een awarenesstraining kan elke ondernemer morgen al een start maken met het adequaat beveiligen van informatie", aldus Kamphuis.

Het ontwikkelen van kennis en bewustzijn rond informatiebeveiliging is vaak veel voordeliger dan de gevolgen – zoals een boete door de Autoriteit Persoonsgegevens – van het ontbreken van die kennis. Kamphuis is zich bewust van het feit dat het voor het midden- en kleinbedrijf ondoenlijk is om alle expertise in huis te hebben. Voor de wet blijft de ondernemer echter wel zélf verantwoordelijk voor de gevolgen van datalekken, datadiefstal of verstoringen van bedrijfsprocessen. Welke expertise ondernemers zelf in huis moeten hebben en welk deel zij kunnen uitbesteden, blijft een spanningsveld. Kamphuis: "Er bestaan geen one-size-fits-all oplossingen.

Echter, door informatiebeveiliging als integraal onderdeel van het bedrijfsproces te zien, kan men tot inzicht komen." Ondernemers moeten inzicht krijgen in hoe IT hun bedrijfsvoering ondersteunt en vervolgens een risicoanalyse uitvoeren om inzichtelijk te maken hoe informatiebeveiliging zich verhoudt tot hun kritische bedrijfsdata en processen. Op basis van deze risico’s kan een ondernemer een weloverwogen afweging maken van passende beveiligingsmaatregelen die van toepassing zijn voor de onderneming. Kamphuis besluit: "Net als de bedrijfsstrategie is informatiebeveiliging nooit af. Beiden zijn continu in beweging en verdienen onverdeeld de aandacht van iedere ondernemer."

Bron: Brisk Magazine 25 maart 2016