Hoe neem je de juiste beslissing bij een cyber incident?

Aanvallen van externe hackers, digitale fraude en compliance-breuk door medewerkers komen vaak voor in organisaties. Het zijn kwetsbaarheden die het noodzakelijk maken voor bestuurders, professionals en managers om passende maatregelen op het gebied van cyber security te nemen. Veelal wordt daarbij de nadruk gelegd op één specifiek aspect van deze problemen, zoals alleen de technologische zijde. ‘En dat is niet genoeg’, zo stelt Jan Veldsink, kerndocent van de MBA-module Security and Cyber Risks. ‘Digitale kwetsbaarheid tegengaan doe je op technologisch, organisatorisch én psychologisch vlak.’

Eens in de zoveel tijd sijpelt een nieuwsbericht door over een lek in de data van een grote organisatie, waardoor ineens duizenden gegevens van zowel het bedrijf als de klanten op straat liggen. De berichtgeving lijkt ongewild te horen bij een tijdperk waarin de digitale mogelijkheden dagelijkst toenemen en waarbij enorm veel data de revue passeert. Het is mede daarom onontkoombaar dat bv’s worden getroffen door cyber incidenten. ‘En daar kunnen professionals met ambitie zich maar beter op de juiste manier tegen wapenen’, aldus Veldsink.

Cyber compliance

Jan Veldsink is kerndocent van de module Security and Cyber Risks en namens de Rabobank actief in het domein Cyber Security en Compliance. Zodoende is hij op meerdere manieren betrokken bij het fenomeen cyber incidenten en de manier waarop managers hiermee omgaan. ‘Cyber compliance, noem ik dat. Het is criminaliteit en integriteit issues van binnen- én buitenuit. We zijn vaak geneigd te denken aan hackers, maar organisaties kunnen ook intern te maken krijgen met dit soort problemen. Voldoen de medewerkers bijvoorbeeld wel?’ Dat cyber incidents een steeds actueler wordend probleem is, heeft in ieder geval geleid tot een stijgend bewustzijn onder professionals. ‘Maar dat alleen is niet genoeg’, stelt Veldsink. ‘Je moet als manager weten hoe je ermee omgaat. Je kunt een IT’er opdracht geven tot het opzetten van een firewall of password policies, maar dan belicht je slechts één kant van het probleem. Deze module doet wat andere modules niet doen: we gaan ook in op de businesskant van het verhaal. Hoe neem je in het geval van cyber incidenten de juiste beslissingen?’

Te laat

Hoewel er sprake is van een stijgend bewustzijn op het gebied van cyber compliance, ziet Veldsink ook hoe veel bedrijven nog te log zijn in hun manier van omgaan met aanvallen. ‘Mensen zijn niet dom, maar doen soms wel domme dingen. Een organisatie moet in het geval van een digitale aanval snel reageren. Op het moment dat een crimineel in een uur tijd schade kan aanrichten, en jij een aanpak hebt waarin je een maand mag doen over het reageren op zo’n aanval, dan is de schade niet te overzien. En dat zie je in veel organisaties helaas nog terug. Er worden te laat of geen keuzes gemaakt op business-niveau.’

Met de vernieuwde module wil Veldsink nog meer bewustzijn onder bestuurders en managers creëren. ‘Over wat de vormen van cyber incidenten zijn, maar ook welke motieven een crimineel heeft en welke schade het de organisatie kan toebrengen. Daarnaast gaan we ook in op toegepaste technologieën en hoe een organisatie moet handelen wanneer deze digitaal onder vuur ligt.’ Is het alleen theoretisch? ‘We reiken ook handvatten uit vanuit technologisch, organisatorisch en psychologisch oogpunt. Daarnaast bestaat de module uit opdrachten die weer resulteren in toepasbare methoden waar je als organisatie veel baat bij hebt. We trekken het bestrijden van cyber incidenten in breder perspectief.’