Cyber Risk Management & People driven Awareness
Op 19 mei jl. vond de CEG Information Security online plaats. Voor de bijna 30 deelnemers in de Teams sessie werd een mooi programma voorgeschoteld door o.a. Richard Verbrugge, Information Security Awareness Manager bij ABN AMRO en Sjaak Schouteren, CIPP-E, Cyber Development Leader bij Marsh. De opname van deze beide presentaties zijn beschikbaar gemaakt.
Het uitgebreide verslag dat is opgesteld n.a.v. de sessie vind je terug in de online Kennisbank. Hier zijn ook de presentaties van Richard en Sjaak opgeslagen om terug te lezen (achter de inlog op 'mijn CIO'):
"New awareness Approach ABN AMRO" & "Cyber Risk Management"
“Vervang de jaarlijkse e-learning over information security door een continu leerprogramma dat medewerkers leert risico’s in verschillende situaties te herkennen.”
Cyber Security Awareness is zeker in deze tijd met veel thuiswerkende collega’s, vaak op BYOD-apparaten en een grote honger naar informatie over corona (waar criminelen graag op inspelen) is, enorm belangrijk. ABN AMRO pakt dat tegenwoordig anders aan dan enkele jaren geleden. Namelijk de 'one size fits all' aanpak van een awareness campagne sluit niet meer aan bij hun medewerkers. Collega's die al aware zijn haakten af, antwoorden op verplichte e-learnings werden breed gedeeld en ook de content was statisch en snel achterhaald. De nieuwe aanpak richt zich meer en meer er op dat je mensen individueel kunt aanspreken en helpen. Met behulp van data stem je het aanbod af op de individuele medewerkers. Zo is tegenwoordig iedere ABNAMRO-medewerker verplicht 5 minuten per maand te besteden aan leren over cyber security – continuous learning. Er wordt geen kennis meer er in gestampt, maar men wordt erop getraind om risico’s te herkennen en weten hoe te handelen in verschillende situaties. De gehele presentatie van Richard Verbrugge, Information Security Awareness Manager bij ABN AMRO, is opgenomen en hier terug te kijken.
“Om een goede keuze te kunnen maken voor een cyber verzekering moeten de risico’s gekwalificeerd, gekwantificeerd en gemanaged worden.”
Binnen de community van het CIO Platform Nederland is vaker het onderwerp cyber security verzekering actueel geweest. Via het CISO Netwerk kwamen we op het spoor van Sjaak Schouteren, CIPP/E Cyber Development Leader Marsh, die bij verschillende leden als broker fungeert tussen de verzekerde en verzekeringsmaatschappij. In zijn presentatie nam hij ons mee in wat hij ziet gebeuren in deze markt, zowel aan de kant van de verzekeraars, als aan de kant van de organisatie die een verzekering willen afsluiten.
Belangrijkste les die Sjaak meegaf: doorbreek de silo’s binnen de organisatie! Weet wat er precies speelt in de hele organisatie. Er wordt te weinig holistisch naar cyber risico’s gekeken, er moet veel meer buiten ICT over de afdelingen heen met elkaar gesproken over actuele ontwikkelingen, dreigingen, beschikbaarheid van data e.d., dus niet alleen door IT of Security of CFO. Hij gaf de CISOs een opdracht mee als goede voorbereiding in het traject naar een cyber verzekering: Bespreek binnen je organisatie de volgende punten, wellicht tijdens een virtuele dagstart of borrel:
=> Wat zijn je kroonjuwelen (verschillende perspectieven bij verschillende afdelingen, afhankelijk van waar word je op afgerekend, waar kan jouw organisatie maximaal pijn krijgen)?
=> Wat kost een uur down, verlies van data, welke schade kunnen we hebben, welke risk apetite is er?
De toelichting per topic kun jij hier bekijken:
- Introductie: Sjaak Schouteren en Cyber Risk management op de agenda
- Cyber Risk Management nader toegelicht
- Beknopt inzicht in dekkingen van verzekeraars die vallen onder cyber crisis risico management
- Reflectie vanuit onderzoeken en eigen ervaringen in de aanloop van het afsluiten van cyber verzekeringen
- Ontwikkelingen bij de verzekeraars
- De 1e stap: Risicomanagement oefening voor bij de online vrij-mi-borrel