In onze digitale maatschappij vormt cybercriminaliteit een steeds grotere bedreiging. Hoe beschermen we ons hiertegen? Is meer of juist minder wetgeving nodig? En wie draagt de eindverantwoordelijkheid voor de risico’s?

Door de digitalisering komt de verantwoordelijkheid voor security-risico’s steeds vaker bij de ICT-afdeling van bedrijven te liggen. Dat bleek onlangs tijdens een debat op het congres IT & Information Security. Deelnemers aan het debat waarschuwden voor een vals gevoel van veiligheid. “ICT-afdelingen kennen doorgaans hun verantwoordelijkheden, maar de situatie wordt steeds spannender. In control zijn betekent niet dat je als bedrijf alleen maar controlelijstjes afvinkt. Het is soms moeilijk te bepalen waar de verantwoordelijkheden liggen. Vaak spelen stakeholders het balletje aan elkaar door.”

Gezamenlijk

Security zou een gezamenlijke verantwoordelijkheid moeten zijn van de business en de ICT-afdeling. Dat wordt echter niet altijd zo ervaren. ICT-medewerkers hebben vaak het gevoel er alleen voor te staan en zijn bang om de schuld te krijgen als het fout gaat. “Laat de directeuren in de business tekenen voor de risico’s die ze nemen”, was één van de adviezen. “Als ze dit niet doen, neem de risico’s dan niet of stap naar de algemene directie. Discussies over risico’s moeten plaatsvinden tussen directeuren. Zo voorkom je dat de ICT-afdeling het putje wordt.”

Awareness

Veel datalekken ontstaan doordat medewerkers werk meenemen naar hun persoonlijke ICT-omgeving of nietsvermoedend op een verleidelijk linkje naar malware in een e-mail klikken. Bedrijven moeten hun personeel op een slimme manier sensibiliseren. “Nagel werknemers die in de fout zijn gegaan nooit aan de schandpaal. Medewerkers moeten erop kunnen vertrouwen dat ze het altijd kunnen melden als ze ergens op geklikt hebben.” Bewustmaking vergt training. Het panel trok de vergelijking met de geheimhoudingsplicht voor advocaten. “Iedere advocaat moet met deze plicht leren omgaan. Wat betekent dit bijvoorbeeld voor de spullen die je wel of niet in je tas stopt? Veel jonge en ervaren advocaten volgen standaard één keer per jaar een awareness-training. Het moet in hun DNA zitten en daar blijven zitten.”

Wetgeving

Cybercriminelen zijn goed georganiseerd en passen zich razendsnel aan. Ze houden zich dan ook aan geen enkele wet of regel. Bovendien loopt wetgeving per definitie altijd achter technologische ontwikkelingen aan. Veel bedrijven vinden dat ze nu al worden doodgereguleerd en zitten niet te wachten op nóg meer wetgeving rond cybersecurity. Hoewel die soms wel noodzakelijk is om een stap te zetten. Als voorbeeld werd de Europese Algemene Verordening Gegevensbescherming (AVG) genoemd, die vanaf 25 mei 2018 de Wet Bescherming Persoonsgegevens (Wbp) gaat vervangen. De AVG is complex en had volgens het panel half zo lang mogen zijn. “Anderzijds hebben we de Wbp massaal genegeerd. Nu er nieuwe regelgeving aankomt, gaan we aan de slag. Kennelijk is soms (te) veel regelgeving nodig om in actie te komen. Een gebrek aan zelfregulering leidt tot regulering. Er moet ook beter worden gehandhaafd en nationale wetgeving moet op internationaal vlak beter worden afgestemd.”

Kijk hier voor meer informatie over de AVG

Kijk hier voor meer informatie over informatiebeveiliging in het algemeen