Elk jaar krijg ik begin april een overzicht van al mijn verzekeringspolissen. Vroeger schriftelijk, tegenwoordig kan ik ze digitaal vinden in het portaal van mijn verzekeraar. Alles overzichtelijk in een indrukwekkend rijtje. Een rijtje dat nog ontzaglijker wordt, als ik me realiseer dat ik ook nog zorgverzekeringen, overlijdensrisicoverzekeringen, pensioenverzekeringen en begrafenisverzekeringen heb. Oh ja, er is ook nog pechhulp. Die vergat ik bijna.
Wij Nederlanders zijn graag goed verzekerd en in veel gevallen zelfs oververzekerd. Toen ik ooit al die verzekeringen afsloot heb ik geluisterd naar de specialist op het gebied van verzekeren. De assurantieënwereld was, en eigenlijk is, voor mij redelijk onbekend terrein. Dus luister je naar het advies van een specialist. Deze tussenpersoon wist me te wijzen op allerlei risico’s die ik liep en dat het toch wel heel erg vervelend zou zijn als mij iets zou gebeuren gezien de mogelijke financiële gevolgen. Het klonk allemaal heel erg logisch.
Uw verzekeringen
Organisaties hebben ook de mogelijkheid om zich te verzekeren tegen bepaalde veiligheidsrisico’s. Daadwerkelijke verzekeringen, zoals die door u en mij worden afgesloten. Er wordt een premie betaald, waarna de verzekeraar (tot op zekere hoogte) kosten voor haar rekening neemt in geval van financiële schade als gevolg van de verzekerde gebeurtenis.
Vanzelfsprekend nemen zij ook andere maatregelen voor het afwenden van bedreigingen, soms ook als een soort verzekering. Daarbij luisteren organisaties erg graag naar specialisten op het gebied van IT Security. Want het is voor veel IT-beslissers redelijk onbekend terrein. Ja, het begrip firewall is bekend evenals computervirussen en ransomware. “Doet u maar wat u zojuist noemt. Waar kan ik afrekenen?”
Belangrijk in dit soort overwegingen is ook de norm. Er wordt gekeken naar wat de referentie (bijvoorbeeld branchegenoten) doet aan IT Security. Wat zij doen, dat zal wel goed zijn, dus doen wij dat ook. “Mag ik van u een firewall, een IPS en een SIEM?” Alsof er een generieke receptuur is voor IT Security. En voor dat we het door hebben is er een enorm scala aan maatregelen naar binnen gereden, omdat de specialist het zei en de buurman het ook doet. Niemand die weet of met deze investeringen de meest relevante risico’s op het gebied van informatiebeveiliging daadwerkelijk zijn afgedekt.
Om dat vast te kunnen stellen, moet je eerst risico’s in kaart brengen, inclusief de impact en de kans. Het spreekt voor zich dat dit in overleg met de (business) eigenaren van de systemen plaats vindt. In deze dialoog kun je gezamenlijk prioriteiten en maatregelen vaststellen. Die hoeven overigens niet allemaal te bestaan uit de inzet van peperdure IT Security middelen, want met bijvoorbeeld een awareness training kun je voorkomen dat medewerkers op verkeerde linkjes klikken.
Wanneer de risico’s en maatregelen in kaart zijn gebracht (dit is makkelijker gezegd dan gedaan) en geprioriteerd kan de organisatie op een afgewogen manier de risico’s gaan afdekken. Dit is zeker geen eenmalige actie, want natuurlijk verandert het IT-landschap snel en daarmee ook de bedreigingen. Na een eerste stap zou een organisatie een benadering als Security by Design kunnen adopteren om te zorgen dat de IT Security up-to-date blijft.
Omgevallen boom
Waarschijnlijk moet ik bovenstaande ook doen in mijn eigen situatie: “Eerst risico’s inventariseren, de impact van de risico’s bepalen en ook de kans inschatten die ze hebben om op te treden.” Die boom valt echt niet elke dag om, oh ja, die boom staat niet eens bij mij voor de deur. Aan de hand van impact en kans zou ik dan moeten bepalen welke risico’s ik wil afdekken en wat me dat waard is. Binnenkort ga ik dit ook echt eens doen. Dat zal me zeker heel wat geld schelen.
