Risico
Het midden- en kleinbedrijf (nagevolgd: mkb) loopt meer risico, omdat mkb’ers minder vaak cybermaatregelen treffen dan grote bedrijven. De problematiek rondom cybercriminaliteit neemt toe mede doordat nieuwe technologieën een steeds belangrijkere rol spelen in het bedrijfsleven. Deze ontwikkelingen zorgen voor effectievere en efficiëntere bedrijfsprocessen. De keerzijde is echter dat het mkb slachtoffer wordt van cybercriminaliteit. Op dit moment is er een tekort aan cybersecurityspecialisten. Vandaar dat om bovenstaande reden hier onderzoek naar is gedaan. De vraag die hierbij centraal stond was: ‘Op welke wijze kan een (externe) organisatie haar Security & Privacy Office vormgeven en uitvoeren zodat het mkb cybersecurity- en privacyrisico’s kan beheersen volgens de ISO 27001 en de ISO 27701?’
Belangrijke onderzoeksresultaten
Uit het onderzoek is gebleken dat een externe drijfveer het mkb niet helpt om hun cybersecurity- en privacyrisico’s te beheersen. Een drijfveer bestaande uit interne motivatoren draagt hier wel aan bij. Vanuit het mkb is er met name aandacht voor de technologische benadering van risico’s en nauwelijks voor de mens- en procesbenadering, terwijl een integrale benadering nodig is.
Directieniveau
Op directieniveau binnen het mkb wordt niet altijd de toegewijde aandacht aan cybersecurity- en privacyrisico’s gegeven die wel nodig is. Het is nodig dat de directie inziet dat het borgen van deze risico’s van belang is voor de bedrijfsvoering. Het mkb weet niet goed wat de gevolgen van de risico’s inhouden en weet niet goed hoe ze moeten beginnen met cybersecurity- en privacymanagement. Kleine stappen helpen het mkb hierin op weg.
Menselijk gedrag
Het menselijke gedrag vormt een uitdaging voor het mkb. Het bewustzijnsniveau is onvoldoende. Het niveau ‘bewust bekwaam’ is gewenst waarbij ondernemers en medewerkers kennis, vaardigheden en competenties omtrent de beheersing van cybersecurity- en privacyrisico’s eigen hebben gemaakt. Risicobeoordeling en risicobehandeling worden niet gepland door het mkb. De planning hiervan is van belang, omdat de risico’s elke dag anders zijn. De doeltreffendheid van cybersecurity- en privacydoelstellingen wordt niet of nauwelijks geëvalueerd. Dit is echter wel nodig om te bepalen of er nog kansen voor verbetering zijn. De risicoperceptie van de ondernemer en de bedrijfsprocessen beïnvloeden de aandacht voor het doorvoeren van veranderingen. Het mkb wil de meerwaarde van verbetering zien, wil een transparante cybersecuritymarkt en ze willen zich niet afhankelijk voelen van een externe partij.
Aanbevelingen
Daarom worden de volgende acht zaken aan een (externe) organisatie aanbevolen bij de vormgeving en de uitvoering van een Security & Privacy Office:
- Prikkel de interne motivatie.
- Voer een integrale aanpak van Mens, Proces en Technologie.
- Vertaal cybersecurity- en privacy doelstellingen naar bedrijfsdoelstellingen.
- Begin met een beperkt aantal cybersecurity- en privacy doelstellingen.
- Maak ondernemers en medewerkers bewust bekwaam.
- Faciliteer een planning voor risicobeoordeling, risicobehandeling en evaluatie.
- Maak de meerwaarde van verbetering zichtbaar.
- Wees transparant en onafhankelijk.
Beheersing van cybersecurity en privacyrisico’s
In het onderzoek kon geconcludeerd worden dat het mkb momenteel stuurt op processen en met name reactief handelt bij het beheersen van cybersecurity- en privacy risico’s. De gewenste beheersing van deze risico’s is dat het mkb stuurt op standaardisatie waarbij proactief handelen mogelijk is. Een proactieve houding draagt bij aan meer systematische aandacht voor cybersecurity en privacy risico’s en aan een betere beheersing van deze risico’s door het mkb. Op basis van de acht aanbevelingen kan een (externe) organisatie haar Security & Privacy Office zodanig vormgeven en uitvoeren dat het mkb hun cybersecurity en privacy risico’s kan beheersen volgens de ISO 27001 en de ISO 27701.
Meer informatie
Heeft u vragen naar aanleiding van dit artikel? Van Oers IT Advies staat klaar om u te helpen bij het in control zijn op het gebied van IT, zodat u niet voor ongewenste verrassingen komt te staan.