Cyber veiligheid moet hoog op de bestuursagenda bij elke organisatie, gesteund door de overheid
Recente incidenten rond ransomware bij onder andere de Universiteit van Maastricht en Travelex en kwetsbaarheden in Citrix-producten die overheidsorganisaties, bedrijven en ziekenhuizen hebben getroffen, tonen nog maar eens aan dat aandacht voor veiligheid niet mag verslappen en dat kennisdelen over actuele kwetsbaarheden en wat daaraan te doen noodzakelijk is.
Dus kunnen en mogen ook bedrijven en andere organisaties niet achteroverleunen. Hun veiligheid, en dat van de producten en diensten die ze leveren en gebruiken, is in eerste instantie hún verantwoordelijkheid!
Die verantwoordelijkheid ligt uiteindelijk bij de bestuurders van de bedrijven en organisaties, ongeacht hun sector of omvang. Mijn inschatting is dat in veel van die besturen de aandacht voor veiligheidsmaatregelen omhoog mag, maar het is steeds een afweging tussen verschillende belangen. Continuïteit van dienstverlening, investeringen in nieuwe producten, kanalen en mensen, compliance met veranderende wet- en regelgeving en vele andere belangen, kansen en risico’s wegen allemaal mee. Uiteindelijk is het aan een bestuur om de juiste afweging te maken en resources (mensen en middelen) beschikbaar te stellen. Het gewicht dat cyber veiligheid maatregelen in de schaal legt, is misschien moeilijker te bepalen dan die van andere componenten in die afweging. Bijvoorbeeld omdat er minder ervaring mee is, of omdat een deel van de schade van een cyber incident niet bij het eigen bedrijf ligt, maar elders in de keten, of in de maatschappij.
Daar zou iets aan moeten worden gedaan. Zeker als ketenpartners of maatschappelijke belangen in het gedrang komen door onjuiste weging en daaropvolgende (in)actie van het bestuur van één bedrijf in de keten. Zodat bijvoorbeeld bij een besluit over het al dan niet patchen van software niet alleen wordt gekeken naar de kosten die gepaard gaan met downtime van het eigen proces, maar ook naar de kosten voor het eigen bedrijf, ketenpartners en samenleving als via de ongepatchte software de organisatie komt stil te liggen. Daar moeten de bestuurders van bedrijven en organisaties vandaag de dag ook rekening mee houden. Of dat nu een overslagbedrijf is, of een leverancier van software, van grondstoffen of van financiële diensten, dat doet er niet toe.
Als CIO Platform Nederland dragen we bij aan het ontwikkelen van deze verantwoordelijkheid bij bedrijven en organisaties door ze de mogelijkheid te bieden van elkaar te leren en kennis en ervaring te delen in een vertrouwde setting. Dat doen we onder andere door sessies op strategisch niveau voor CIO’s en CDO’s en op operationeel niveau voor (chief) information security officers van onze leden. Daarnaast vertegenwoordigen we in diverse gremia de belangen onze leden op dit terrein.
Ronald Verbeek
Directeur CIO Platform Nederland
Deel dit bericht