Een onbeveiligde server heeft er in september van dit jaar toegeleid dat de telefoonnummers en overige persoonsgegevens van miljoenen Facebookgebruikers vrij in te zien waren. In dezelfde maand heeft een lek in het VPN-netwerk van aanbieder Pulse Secure en Fortigate VPN ervoor gezorgd dat de beveiliging van honderden bedrijven, ziekenhuizen en overheidsinstellingen in gevaar is gekomen. Dit gevaar is op het moment van schrijven nog niet geweken!
De vrijblijvendheid is verdwenen
De twee bovenstaande voorbeelden over informatiebeveiliging zijn van amper een maand geleden. En er zijn voorbeelden te over van bedrijven die het publiek en andere organisaties opzadelen met de negatieve gevolgen van hun slechte informatiebeveiligingsbeleid. Dat dit probleem aangepakt moet worden is nu ook doorgedrongen binnen de politiek. Minister Grapperhaus wil in ieder geval overgaan tot de invoering van dwangmiddelen om bedrijven te bewegen de noodzakelijke veiligheidsmaatregelen te nemen.
Impact op organisaties
Wat betekent het voor jouw organisatie dat de vrijblijvendheid voor het regelen van een goede informatiebeveiliging voorbij is? Het Nationaal Cyber Security Centrum (NCSC) is door de minister aangewezen als partij om samen met jouw organisatie de problemen op te lossen wanneer er grote cybersecurity issues geconstateerd zijn. De vrijblijvendheid is dan sowieso ver te zoeken.
Een prognose
Kijkend naar de wijze waarop bijvoorbeeld banken met de witwasproblemen omgaan kun je een inschatting maken dat veel bedrijven in eerste instantie een afwachtende houding zullen aannemen. Het wachten is daarom op de eerste grote boete of sanctie. En als je de vergelijking met banken verder doortrekt kan dat in de miljoenen euro’s gaan lopen. Dit zijn de directe financiële consequenties van een slecht informatiebeveiligingsbeleid. We hebben het dan nog niet eens over de reputatieschade.
Houd het heft in eigen handen
Wacht niet af tot dat er iets mis gaat. Naast de reeds bekende financiële en reputatieschades die optreden bij een incident met de informatiebeveiliging kun je dus vanaf nu ook als organisatie aan een soort infuus worden gelegd bij een overheid gerelateerde instantie. De autonomie van de organisatie is dan grotendeels verdwenen en dat is het laatste wat je moet willen. Nog een reden om werk te maken van de informatiebeveiliging binnen jouw organisatie.
