Vanoers.nlIT AdviesCybersecurity en privacy beheersing in het mkb

Cybersecurity en privacy beheersing in het mkb  

Cybersecurity

Cybercriminelen maken gebruik van innovatieve en effectieve digitale technieken en daarmee zorgen ze ervoor dat zowel landen, als organisaties slachtoffer worden van cybercrime. Eén van de grootste uitdagingen is dat organisaties cyber- en privacyrisico’s niet voldoende begrijpen of dat zij niet genoeg bewust zijn van de risico’s waardoor ze kwetsbaar zijn voor cybercriminaliteit. Wat vertellen de onderzoeksresultaten ons hierover?

Risico

Het midden- en kleinbedrijf (nagevolgd: mkb) loopt meer risico, omdat mkb’ers minder vaak cybermaatregelen treffen dan grote bedrijven. De problematiek rondom cybercriminaliteit neemt toe mede doordat nieuwe technologieën een steeds belangrijkere rol spelen in het bedrijfsleven. Deze ontwikkelingen zorgen voor effectievere en efficiëntere bedrijfsprocessen. De keerzijde is echter dat het mkb slachtoffer wordt van cybercriminaliteit. Op dit moment is er een tekort aan cybersecurityspecialisten. Vandaar dat om bovenstaande reden hier onderzoek naar is gedaan. De vraag die hierbij centraal stond was: ‘Op welke wijze kan een (externe) organisatie haar Security & Privacy Office vormgeven en uitvoeren zodat het mkb cybersecurity- en privacyrisico’s kan beheersen volgens de ISO 27001 en de ISO 27701?’

Belangrijke onderzoeksresultaten

Uit het onderzoek is gebleken dat een externe drijfveer het mkb niet helpt om hun cybersecurity- en privacyrisico’s te beheersen. Een drijfveer bestaande uit interne motivatoren draagt hier wel aan bij. Vanuit het mkb is er met name aandacht voor de technologische benadering van risico’s en nauwelijks voor de mens- en procesbenadering, terwijl een integrale benadering nodig is.

Directieniveau

Op directieniveau binnen het mkb wordt niet altijd de toegewijde aandacht aan cybersecurity- en privacyrisico’s gegeven die wel nodig is. Het is nodig dat de directie inziet dat het borgen van deze risico’s van belang is voor de bedrijfsvoering. Het mkb weet niet goed wat de gevolgen van de risico’s inhouden en weet niet goed hoe ze moeten beginnen met cybersecurity- en privacymanagement. Kleine stappen helpen het mkb hierin op weg.

Menselijk gedrag

Het menselijke gedrag vormt een uitdaging voor het mkb. Het bewustzijnsniveau is onvoldoende. Het niveau ‘bewust bekwaam’ is gewenst waarbij ondernemers en medewerkers kennis, vaardigheden en competenties omtrent de beheersing van cybersecurity- en privacyrisico’s eigen hebben gemaakt. Risicobeoordeling en risicobehandeling worden niet gepland door het mkb. De planning hiervan is van belang, omdat de risico’s elke dag anders zijn. De doeltreffendheid van cybersecurity- en privacydoelstellingen wordt niet of nauwelijks geëvalueerd. Dit is echter wel nodig om te bepalen of er nog kansen voor verbetering zijn. De risicoperceptie van de ondernemer en de bedrijfsprocessen beïnvloeden de aandacht voor het doorvoeren van veranderingen. Het mkb wil de meerwaarde van verbetering zien, wil een transparante cybersecuritymarkt en ze willen zich niet afhankelijk voelen van een externe partij.

Aanbevelingen

Daarom worden de volgende acht zaken aan een (externe) organisatie aanbevolen bij de vormgeving en de uitvoering van een Security & Privacy Office:

  1. Prikkel de interne motivatie.
  2. Voer een integrale aanpak van Mens, Proces en Technologie.
  3. Vertaal cybersecurity- en privacy doelstellingen naar bedrijfsdoelstellingen.
  4. Begin met een beperkt aantal cybersecurity- en privacy doelstellingen.
  5. Maak ondernemers en medewerkers bewust bekwaam.
  6. Faciliteer een planning voor risicobeoordeling, risicobehandeling en evaluatie.
  7. Maak de meerwaarde van verbetering zichtbaar.
  8. Wees transparant en onafhankelijk.

Beheersing van cybersecurity en privacyrisico’s

In het onderzoek kon geconcludeerd worden dat het mkb momenteel stuurt op processen en met name reactief handelt bij het beheersen van cybersecurity- en privacy risico’s. De gewenste beheersing van deze risico’s is dat het mkb stuurt op standaardisatie waarbij proactief handelen mogelijk is. Een proactieve houding draagt bij aan meer systematische aandacht voor cybersecurity en privacy risico’s en aan een betere beheersing van deze risico’s door het mkb. Op basis van de acht aanbevelingen kan een (externe) organisatie haar Security & Privacy Office zodanig vormgeven en uitvoeren dat het mkb hun cybersecurity en privacy risico’s kan beheersen volgens de ISO 27001 en de ISO 27701.

Meer informatie

Heeft u vragen naar aanleiding van dit artikel? Van Oers IT Advies staat klaar om u te helpen bij het in control zijn op het gebied van IT, zodat u niet voor ongewenste verrassingen komt te staan.

Brechtje Brugman Dekkers
Brechtje Brugman-Dekkers
Manager IT advies
Bekijk onze open-staande vacatures op Werken bij Van Oers.
  • icon
Brechtje Brugman Dekkers
Brechtje Brugman-Dekkers
Van Oers IT Advies

Wilt u cyberrisico’s voorkomen?

Maak uw organisatie weerbaar tegen beveiligingsrisico’s en online dreigingen. Wij optimaliseren en automatiseren uw bedrijfsprocessen en we waarborgen uw kwaliteit. Wij zijn de adviseur waar u op kunt vertrouwen. Uw specialist voor uw IT Advies vraagstukken.
Meer informatie
10 tips voor 2020: Cybersecurity

Schrijf u in voor de nieuwsbrief

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Brechtje Brugman-Dekkers
Brechtje Brugman-Dekkers | Manager IT advies
Wilt u meer informatie over dit onderwerp?
Neem contact op met onze specialisten via onderstaand telefoonnummer of e-mailadres. Zij helpen u graag verder.