april 2016
mijnzakengids.nl
Risicobewustzijn is de belangrijkste manier om bedrijfscontinuïteit te waarborgen
Cyberaanvallen, geopolitieke spanningen en klimaatverandering; de nieuwe bedrijfsrisico’s
Bedrijfscontinuïteit management: “Het doel is een veerkrachtige organisatie”
Cybersecurity is niet een zaak voor ICT alleen; het raakt het hart van het bedrijf
Pagina 6
Pagina 9
Pagina 10
Pagina 17
2
PULSE MEDIA GROUP
BEDRIJFSCONTINUÏTEIT
INHOUDSOPGAVE
COLUMN
Werkkapitaal
Auteur: Eelco Blok Covoorzitter van de Cyber Security Raad
Nederland kent een uitgebreide telecom- en ICTinfrastructuur en een hoge breedbandpenetratie.
4 Transparantie essentieel bij trade Finance 5 Fintech: Scenario’s voor de bankwereld
In Europa lopen we daarmee voorop, waardoor innovaties en nieuwe producten en diensten een hoge vlucht nemen. Diverse innovatieve partijen uit de securityhoek kiezen daarom voor Nederland. Dit alles is goed voor onze concurrentiepositie. Onze nationale economie
Bedrijfsschade
6 Met preventie en verzekering continuïteit waarborgen
vaart er wel bij. Die moeten we dan ook beschermen. Digitale bedrijfsspionage, diefstal van gegevens en cyberaanvallen hebben een grote impact op bedrijven en zijn een bedreiging voor onze concurrentiepositie Gezien
de
en
vergaande
economische uitbreiding
groei.
van
het
Internet of Things nemen de veiligheidsrisico’s nog
verder
toe,
maar
die
worden
nog
onvoldoende onderkend. Onlineveiligheid moet
Cyberrisico's
8 9
Relatief nieuwe risico’s afdekken en verzekeren
9
Goed zicht op bedrijfsrisico’s zorgt voor ruimte in je hoofd
Cyberrisico’s worden door het MKB onderschat
‘by design’ in ieder proces ingebakken zitten en verantwoordelijkheden voor digitale veiligheid mogen niet langer worden afgeschoven op de (eind)gebruiker. Overheid, bedrijfsleven en wetenschap hebben elkaar nodig om het niveau van cybersecurity in Nederland te verhogen. In gezamenlijkheid moet gekeken worden naar nieuwe technologische ontwikkelingen
en
wat
dit
betekent
voor
cybersecuritymaatregelen. Publiek-private samenwerking is hiervoor een goed middel. Daarnaast moet cybersecurity topprioriteit zijn van iedere directie. Het raakt immers de essentie en de
Bedrijfscontinuïteit management
10
BCM: waarborg de continuïteit van uw bedrijf
10
Secure by Desire
12
Hoe maak je een organisatie toekomstproof?
13
NEN-ISO 22301: De norm voor een solide BCMS
continuïteit van de organisatie. Om Nederland digitaal veiliger te maken, zijn in toenemende mate goed opgeleide professionals nodig. Daar dreigt echter een tekort. En digitale veiligheid zou meer onderdeel moeten zijn van het (beroeps)onderwijs. Bedrijven kunnen daarbij helpen en het voortouw nemen. Vanuit publiekprivaat-wetenschappelijke samenwerking gaan we nog meer de handen ineenslaan om van Nederland een ‘safe place to do business’ te maken. Voor duurzame economische groei zijn ICT en structurele inzet op cybersecurity onlosmakelijk met elkaar verbonden.
Cybersecurity
14
Data is het nieuwe goud
14
Modus Operandi van cybercriminelen evolueren snel en wetgeving is aangescherpt
15
Datalekken: juridische en praktische gevolgen
17
Productiviteitsverlies door cybercrime
18
Je data de bescherming geven die het verdient
19
Cybersecurity in de keten
KENNISPARTNERS
Colofon Deze onafhankelijke publicatie van Pulse Media Group verschijnt op 30 april bij de Elsevier
Media-adviseur Sebas Touati Vormgeving Gydo Veeke Hoofdredacteur Marianne Rijke Redactie Irina Mak, Ellen Kleverlaan, Wouter Boonstra en Mirjam Streefkerk Foto's Bigstockphoto.com Commercieel directeur Maarten le Fevre Directeur-uitgever Paul van Vuuren Drukker Janssen/Pers Rotatiedruk, Gennep De inhoud van de commerciële bijdragen zoals profielen, expertinterviews, expertbijdrage en advertorials beschrijven de meningen en standpunten van de geïnterviewden. De redactie van PMG tracht alle fouten te voorkomen, maar de redactie kan niet instaan voor eventuele fouten of onvolkomenheden in deze bijdragen. PMG aanvaardt hierdoor geen aansprakelijkheid. Pulse Media Group B.V. www.pulsemedia-group.com
[email protected]
PULSE MEDIA GROUP
BEDRIJFSCONTINUÏTEIT
WERKKAPITAAL
3
ADVERTORIAL
Financieren is kwestie van stapelen
Edwin Schoenmakers en Sander Vrolijk
H
et nieuwe motto voor bedrijfsfinanciering is stapelen. De tijd dat ondernemingen voor hun financiering slechts hoefden aan te kloppen bij hun bank is definitief voorbij. Hiermee ontstaat een nieuwe vorm van financieren, het gestapelde financieren of hybride financiering, waarbij naast een deel bancair krediet gebruik wordt gemaakt van alternatieven voor de financiering. “Als American Express omarmen we het initiatief van de banken om ondernemingen te stimuleren om te kijken naar alternatieve financiering”, vertelt Edwin Schoenmakers, directeur Global Corporate Payments Nederland. “Via Buyer Initiated Payments (BIP) bieden wij ook een aanvullend alternatief voor bankfinanciering. BIP komt er in het kort op neer dat we als American Express een uitgestelde betalingstermijn bieden voor de klant en een snelle betalingstermijn voor de leverancier. Op deze manier kunnen bedrijven hun cash en werkkapitaal optimaal benutten en hoeven zij geen additioneel of extra beroep te doen op de bank.” Hoe werkt zo’n oplossing? “De kopende partij schakelt American Express in om het factuurbedrag over te maken op de rekening van de leverancier met wie hij een strategische samenwerking wil opbouwen. Afhankelijk van de gemaakte afspraken kan die betaling al binnen enkele werkdagen na levering plaatsvinden. De klant op zijn beurt kan gebruikmaken van de uitgestelde betalingstermijn die American Express biedt. Daardoor optimaliseert hij zijn werkkapitaal en verbetert hij zijn cashflow.” Bieden banken ook deze mogelijkheid? “Uiteraard. En van die optie maken bedrijven vaak in eerste instantie ook gebruik. Onze oplossingen zijn veelal een additionele faciliteit. Ondernemers kunnen deze extra mogelijkheid gebruiken om de afhankelijkheid van hun primaire geldschieters te reduceren en kredietlijnen indien mogelijk te verlagen.
Ook vraagt de bank over het algemeen bepaalde zekerheden terwijl je die wellicht op andere wijze wilt inzetten.” Wat zijn de kosten voor deze werkkapitaaloplossing? “Voordat wij over kosten praten, bespreken wij eerst met de betrokken ondernemer of de oplossing die wij bieden wel geschikt is voor die specifieke situatie”, stelt business development manager Sander Vrolijk. “Als blijkt dat onze oplossing geschikt is, volgt de vraag wat de gewenste kredietlimiet is. Op het moment dat onze experts die limiet goedkeuren, wordt een contract opgesteld.
“Leveranciers worden steeds vaker geconfronteerd met klanten die hun rekening niet binnen de overeengekomen termijn betalen” Het bijzondere van deze regeling is dat je als ondernemer zelf bepaalt of en wanneer je deze inzet. Er is dus geen afnameverplichting en er worden geen kosten in rekening gebracht voor het beschikbaar stellen van het programma. Evenmin vragen wij zekerheden of borgstellingen. Je betaalt uitsluitend op die momenten dat je er ook daadwerkelijk gebruik van maakt.” Dat lijkt erg riskant voor de financierende partij. Hoe kan dat? “American Express heeft heel veel ervaring in de financiële sector. Op het moment dat onze experts de kredietwaardigheid positief beoordelen, is een aanvullende zekerheid naar onze mening niet nodig. Bovendien betalen onze klanten wel een vergoeding voor het daadwerkelijke gebruik van de faciliteit. Die vergoeding ligt doorgaans een fractie hoger dan de vergoeding die de bank vraagt. Daartegenover staat dat wij geen garanties vragen. Een tweede belangrijk voordeel is dat wij de rekening van de leverancier vrijwel direct betalen. Afhankelijk van de gemaakte afspraken kan dat al binnen enkele werkdagen.”
Waarom is dat een voordeel? “Leveranciers worden steeds vaker geconfronteerd met klanten die hun rekening niet binnen de overeengekomen termijn betalen”, weet Schoenmakers. “Soms wordt die betalingstermijn zelfs opgerekt tot wel 60 dagen of meer. Dat is natuurlijk nadelig voor de liquiditeitspositie van de leverancier en het draagt zeker niet bij aan zijn loyaliteit richting afnemer. Als een klant kan aanbieden dat de rekening binnen enkele dagen na levering wordt voldaan, is dat zo voordelig voor de leverancier dat die vaak bereid is daar iets tegenover te stellen. Over het algemeen is die vroegbetaalkorting tenminste gelijk aan de kosten die wij berekenen en in de praktijk zien wij dat die korting vaak hoger is. Dat is natuurlijk een volledige win-win situatie voor alle betrokken partijen. Bijkomend voordeel is dat de leverancier altijd verzekerd is van betaling. American Express neemt namelijk de betalingsverplichting over zodra de transactie is geautoriseerd.” Zijn er meer voordelen mogelijk? “Veel ondernemers gebruiken deze optie om op bepaalde momenten hun slagkracht te vergroten. Op die manier kan onze financiering van het werkkapitaal ook bijdragen aan de groei van bedrijven. Stel dat je als ondernemer een flinke groeimogelijkheid ziet, maar je werkkapitaal is niet toereikend om die volledig te benutten. Dan kunnen wij voorzien in extra cashflow waardoor die groei wel kan worden gerealiseerd.” Komen de kosten voor rekening van de klant of de leverancier ? “Dat hangt af van de gemaakte afspraken”, legt Vrolijk uit. “Indien de werkkapitaaloplossing wordt gebruikt voor enkele strategische leveranciers waarbij de leverancier conform afgesproken betalingstermijn wordt betaald, profiteert met name de klant en zal deze de kosten voor zijn rekening nemen. Is het de bedoeling om de relatie met de leverancier te versterken door deze vrijwel direct na levering te betalen en hen daarmee een
optimalisatie van de cashflow te bieden, dan kun je daarvoor een korting bedingen. Maar je kunt ook met je leverancier overeenkomen dat zij de kosten, deels of geheel, voor hun rekening nemen. Onze accountmanagers kunnen adviseren wat gezien de wensen van de klant en de relatie met de leverancier de beste oplossing is.” Wanneer is deze werkkapitaaloplossing geïntroduceerd? “American Express is binnen het bedrijfsleven vooral bekend vanwege de creditcard waarmee nationaal en internationaal veel medewerkers hun reis- en verblijfskosten betalen. In dat segment hebben wij wereldwijd een heel groot marktaandeel en een uitstekende reputatie. Ruim een jaar geleden hebben wij deze nieuwe oplossing ontwikkeld en pas het laatste half jaar geven wij er meer bekendheid aan.” “De bekendheid neemt overigens snel toe”, meldt Schoenmakers. “De eerste klanten én hun leveranciers waren zo enthousiast dat het aantal bedrijven dat gebruik maakt van deze oplossing enorm snel is toegenomen.” Kan iedereen gebruikmaken van deze mogelijkheid? “Wij hebben klanten in onder meer de bouw, de retail, de zakelijke dienstverlening en de food & beverage sector. In principe is onze oplossing geschikt voor elke organisatie die producten of diensten inkoopt. Op het moment dat er transacties plaatsvinden, kan deze financieringsvorm worden ingezet.”
Meer informatie Nieuwsgierig wat American Express voor uw bedrijf kan betekenen? 020 504 8707 www.americanexpress.nl/corporate
4
WERKKAPITAAL
PULSE MEDIA GROUP
BEDRIJFSCONTINUÏTEIT VERZEKERD
INTERVIEW met Rob Adrichem
Transparantie essentieel bij trade finance
W
ie zakendoet met een land dat een andere munteenheid dan de onze heeft, is aangewezen op foreign exchange (vreemde valuta) en trade finance. Grote bedrijven kunnen bij banken terecht. Bedrijven die te klein zijn voor een bank of bij een bank al maximaal hebben geleend, hebben echter ook behoefte aan trade finance-diensten, zegt Rob Adrichem, countrymanager Benelux en Frankrijk van Ebury. Wat is trade finance ofwel handelsfinanciering? “Bedrijven die buiten de eigen valutagrenzen zaken doen, hebben daar andere valuta voor nodig, meestal kredietfaciliteiten en wil het zich indekken tegen valutarisico’s. Voor bedrijven in de EU geldt dat dus voor landen met een andere munteenheid dan de euro. Stel dat een bedrijf goederen koopt in de VS en de goederen moeten met dollars betaald worden. Als die transactie over drie maanden pas daadwerkelijk tot stand komt, ontstaat een zogeheten dollarrisico. Dat wil zeggen dat de koers over drie maanden veranderd kan zijn ten opzicht van de contractdatum en het bedrijf daardoor meer betaalt dan nu is afgesproken. Door valutaschommelingen kan de winst in rook opgaan. Je kunt het op z’n beloop laten natuurlijk en het risico voor lief nemen. Maar je kunt dan ook een termijntransactie afsluiten.”
Rob Adrichem
Is trade finance een typische bancaire dienst? “Grotere bedrijven kunnen daarvoor inderdaad goed bij een bank terecht. Voor kleinere bedrijven is dat echter vaak niet mogelijk omdat een bank daar niet genoeg winst op maakt. Ook willen banken altijd een onderpand voor een lening, maar soms heeft een bedrijf extra krediet nodig en is al maximaal geleend bij een bank. Omdat Ebury gefinancierd wordt door investeerders, hebben we geen bankvergunning nodig. Wij ondersteunen bedrijven in het middensegment van het MKB die ofwel bij een bank niet terechtkunnen, of al maximaal lenen bij een bank en extra kredietfaciliteiten nodig hebben.”
Om wat voor kredietfaciliteiten gaat het dan? “Veel klanten willen een kredietfaciliteit achter de hand hebben en willen dat ook van de ene op de andere dag kunnen inzetten als dat nodig is. Dan is het wel fijn als dat snel geregeld is. Vervolgens ondersteunen wij de klant bij zijn internationale transacties; we dekken de valutaschommelingen af en we doen rechtstreeks betalingen voor onze klanten als zij dat willen. Zie het als een soort creditcardfaciliteit: je kunt geld opnemen als dat nodig is, maar je gaat niet eerder rente betalen dan dat je het opneemt. De looptijd is maximaal 150 dagen; dan moet de lening zijn afgelost.”
Hoe is de samenwerking met banken? “Als niet-bancaire partij maken we gebruik van het bancaire systeem met bancaire diensten. We werken met 15 banken samen voor de valutahandel, eigenlijk zitten we tussen de banken en onze klanten in. Onze klanten profiteren daardoor van betere koersen dan wanneer zij zelf op deze markt zouden opereren. We werken graag met banken samen en zij met ons. En we concurreren met banken met wie we niet samenwerken. Marktwerking is natuurlijk noodzakelijk. Klanten hebben gewoon behoefte aan een goede service en een goede prijsstelling. Maar ook aan simpele financiële producten. De financiële wereld heeft het heel ingewikkeld gemaakt, met soms onbegrijpelijke producten met een ondoorzichtige structuur. Maar transparantie en begrijpelijkheid zouden voorop moeten staan.”
Meer informatie Amsterdam Teleport Towers Kingsfordweg 151 1043 GR Amsterdam 020 217 0810
[email protected] www.ebury.nl
ADVERTORIAL
Een zakelijke lening afsluiten: het kan wel snel Turfboer, Managing Director Spotcap voor de Benelux en het VK. Waarom hebben bedrijven soms snel extra werkkapitaal nodig? “Voor bijvoorbeeld extra voorraad of voor een investering die zich snel terugverdiend, zoals personeel aannemen. De cashflow moet gelijk blijven of groeien, dat is het doel.”
Niels Turfboer
V
oor een ondernemer is het niet altijd mogelijk of duurt het erg lang voordat een werkkapitaalfinancieringsaanvraag bij een traditionele financiële dienstverlener wordt goedgekeurd. Door het aanvraag- en analyseproces te automatiseren, met behulp van algoritmes, kan dat echter wel, zegt Niels
Bij een bank duurt het beoordelen van een kredietaanvraag minimaal drie weken. Bij jullie een dag. Hoe zit dat? “Bij een bank is zo’n 80 procent van de handelingen handmatig. Bovendien keuren veel banken een aanvraag van een kleiner of nieuw bedrijf niet goed. De kosten wegen voor hen niet op tegen de baten. Onze techniek is zeer geavanceerd. Het beoordelingsproces op basis van algoritmes voert in tien minuten een enorme analyse
uit. Het resultaat wordt vervolgens door onze kredietspecialisten gevalideerd. Met machine learning leren we bovendien van de leningen die we wel en niet verstrekken opdat de voorspellende waarde van de kredietwaardigheid van onze klanten nog beter wordt.” Hoe groot is die voorspellende waarde? “Wij verstrekken maximaal 150.000 euro met een maximale looptijd van 12 maanden. Slechts 0,1 procent van de bedrijven waaraan we leningen verstrekken, heeft een betalingsachterstand van meer dan 120 dagen. Het gemiddelde van de markt is 3 procent. Een klant geeft daarvoor online inzage in een drietal documenten: Btw-aangiftes, bankrekeningen en jaarstukken. Die inzage is noodzakelijk om een goede analyse te maken. Ons selectieproces is streng, maar wij beschikken over zoveel relevante data en analysemogelijkheden, dat bij ons meer
Smart industry in de Midden en Kleine Industrie 0316-242933 |
[email protected] | www. assemblagebedrijfperfect.nl
bedrijven dan elders in aanmerking voor een passend krediet komen.” Meent u dat hierdoor sprake is van een disruptieve markt? “Ja, tot op zekere hoogte. Wij merken dat ook bij traditionele financiële instellingen langzamerhand beweging ontstaat, al gaat dit logischerwijs mondjesmaat. Zij zijn vanwege hun omvang helaas moeilijk in staat om de klant zo centraal te zetten. Samenwerking tussen banken en fintechs is in onze optiek de manier om het beste van twee werelden te bundelen.”
Meer informatie Spotcap B.V. 020 8905429
[email protected] www.spotcap.nl
PULSE MEDIA GROUP
|
BEDRIJFSCONTINUÏTEIT VERZEKERD MVO
Fintech: Scenario’s voor de bankwereld
T
echnologische innovatie is een van de belangrijkste factoren die de bancaire wereld veranderen. Innovaties in met name betalingsverkeer, (internationale) kredietverlening, veiligheid en beurshandel vormen uitdagingen voor de verdienmodellen van gevestigde financiële instellingen, maar bieden ook tal van kansen. De consequenties voor het bancaire landschap, heeft DNB (De Nederlandse Bank) onderzocht en in kaart gebracht. Fintech-startups springen in nichemarkten die voor traditionele banken minder interessant zijn geworden. Dat heeft alles te maken met de wijze waarop de banken hun processen hebben ingericht. Fintech-startups zijn dankzij hun innovatieve technologieën in staat om vaak efficiënter, transparanter, goedkoper en klantgerichter te werken dan wat bij banken gebeurt. DNB stelt, in eigen woorden, dat het actie onderneemt om “de positieve bijdragen van technologische innovatie te faciliteren en tegelijkertijd de potentiële risico’s hiervan te adresseren.” In het rapport benoemt DNB drie mogelijke scenario’s voor de toekomst van het bankwezen als gevolg van fintech. Maar wat is fintech nou eigenlijk? Twee jaar geleden begon Don Ginsel met Holland Fintech, netwerk- en kennisorganisatie voor gevestigde en nieuwe partijen die met fintech te maken hebben. Ginsel legt uit dat al in de jaren 90 van de vorige eeuw de term fintech opgeld deed, maar pas na de crisis, nu ruim vijf jaar geleden, zijn huidige betekenis kreeg. Waar we in Europa de ontslagrondes geleidelijker lieten gebeuren, kwamen in de VS in één klap veel mensen op straat te staan. Mensen die talentvol waren, kennis van de markt hadden, een netwerk onder potentiële klanten en de technische knowhow om voor zichzelf te beginnen. De eerste startups in de financieeltechnologische hoek waren een feit, met initiatieven in de ‘payments’, denk aan Adyen, en ‘online trading’, zoals BinckBank. Tel daarbij op de ontwaakte interesse onder venture capitalists en de introductie van de iPhone in 2008, waardoor de smartphone definitief aan zijn opmars zou beginnen en iedereen permanent online zou maken, en zie daar hoe de nieuwe markt ontstond en nog immer aan een opmars bezig is. Bloeiende cultuur Ondertussen kent Nederland een bloeiende fintechstartup-cultuur. De innovaties in Nederland zijn handelgedreven, zegt Ginsel. Betalingsverkeer (payments), handelsfinanciën (trade finance), beurshandel (online trading) en veiligheidssystemen (security). Op ander terrein zijn we in Nederland evenwel nog niet zo ver. Verzekeren, pensioenen en op de kapitaalmarkt missen we vooralsnog de echte innovatieve op techniek gedreven ontwikkelingen. Welke betekenis hebben deze startups nou voor de traditionele banken?
De banken kregen het als gevolg van de crisis weliswaar zwaar te verduren van wetgever en toezichthouder, maar ervoeren weinig druk om te innoveren, zegt Ginsel. De crisis noopte de wetgever de banken strenger te reguleren en de toezichthouder hield strenger toezicht op de naleving daarvan. Maar de toezichthouder kan een ding niet, licht Ginsel toe: “De keuzes van de consument bepalen. Door de smartphone en de onbegrensde mogelijkheden van internet, veranderde het consumentengedrag sterk. De consument heeft dan ook een enorme invloed gekregen op de wereld van de dienstverlening, inclusief de financiële.” Wake up-call Door het uitblijven van innovatie onder traditionele banken, is het resultaat dat zij over verouderde systemen beschikken en een verouderde bedrijfscultuur kennen inclusief een verouderde aansturing. Dergelijke verouderde systemen betekenen dat processen
waarvoor allang technologische oplossingen zijn, nog steeds veel handmatig gebeuren. Voor grote ondernemingen is dat nog steeds winstgevend, maar de kleinere zijn daardoor voor banken minder interessant. Voor startups bieden deze segmenten kansen, voor de banken is het een wake up-call. Ginsel: “Fintech heeft de banken wakker geschud.” Drie scenario’s DNB verwoordt het in haar rapport als volgt. “De concurrentie die voortkomt uit technologische innovatie maakt het voor de gevestigde marktpartijen moeilijker om financiële diensten winstgevend te blijven aanbieden. Vooral de grotere banken en verzekeraars zijn zich bewust van de mogelijk grote impact van nieuwe technologieën op hun bedrijfsmodellen en strategieën.” DNB schetst drie mogelijke scenario’s voor de toekomst van de financiële sector. In het eerste scenario omarmen de banken innovatie en verandert er relatief weinig aan de structuur van de financiële sector. In het tweede scenario fragmenteert de markt doordat nieuwe, gespecialiseerde marktpartijen
WERKKAPITAAL
5
Van onze redactie Auteur: Ellen Kleverlaan
effectief de concurrentie aangaan met gevestigde instellingen. In het derde scenario verdringen grote technologiebedrijven, zoals Google en Apple, de gevestigde instellingen door gebruik te maken van hun schaal en innoverend vermogen. Bottleneck Ginsel denkt dat banken en fintech-startups in de toekomst zullen gaan samenwerken. De schaal waarop banken opereren is natuurlijk interessant; zij hebben immers zonder uitzondering miljoenen klanten. Ook hebben zij het kapitaal dat nodig is voor innovatie. Maar de innovatiekracht missen zij. Dat is wat fintech startups kunnen meebrengen. Toch is technologie niet de bottleneck voor innovatie, vertelt Ginsel. “Het adaptieve vermogen van een organisatie om in een veranderende markt mee te gaan, bepaalt zijn vermogen om te overleven. De menselijke factor, juridische factoren en de organisatie zelf moeten zijn ingericht op innovatief vermogen.” Een relativering heeft Ginsel ook. Want innovatie klinkt iedereen fantastisch in de oren, maar vaak gaat het ook om verkapte bezuinigingen. Veel werk dat nu nog door mensen wordt gedaan in de grote financiële instellingen, kan geautomatiseerd worden. Zeker de processen die om informatie draaien, ongeveer de helft van de processen, schat hij in. “Er gaat waarschijnlijk veel werk verdwijnen.” Financiële speelveld DNB ziet het verdwijnen van arbeidsplaatsen als een indirect risico. Zij legt de nadruk op de verdienmodellen en de stabiliteit van ICT-systemen van de gevestigde partijen die als gevolg van technische partijen onder druk komen te staan, zegt zij in het rapport. Ook concentratierisico’s, bijvoorbeeld als een nieuwe speler grote delen van de financiële dienstverlening gaat domineren, signaleert DNB. Daarnaast maakt innovatie uitgebreidere analyse van klantgegevens mogelijk, wat privacyrisico’s met zich meebrengt. In het toezicht signaleert DNB nog geen problemen, terwijl daar volgens Ginsel ook de nodige veranderingen zullen plaatsingen. De disruptie die fintech in de bankwereld veroorzaakt, draait namelijk niet louter om het financiële speelveld, zegt hij. Een groot deel van wat gebeurt, onttrekt zich aan de tentakels van wetgever en toezichthouder. Juist door zo streng op de banken toe te zien, zorgen zij ervoor dat innovatie en ontwikkeling zich elders voltrekt. Beter zou de overheid nieuwe toetreders kunnen verwelkomen op de financiële markt, opdat toezicht mogelijk blijft, vindt Ginsel. “Maar dat doen ze niet, daardoor kan paradoxaal hun invloed minder worden, terwijl ze juist beogen meer invloed te krijgen.”
6
PULSE MEDIA GROUP
BEDRIJFSSCHADE
BEDRIJFSCONTINUÏTEIT VERZEKERD
Met preventie en verzekering continuïteit waarborgen
Van onze redactie Auteur: Mirjam Streefkerk
kun je zelf dragen, en welke niet? Welke preventieve maatregelen zijn er en wat zijn de kosten daarvan? Brand- en inbraakverzekeringen zijn vaak vrij generiek, maar er zijn ook zeer specialistische verzekeringen, voor bijvoorbeeld ingewikkelde bouwprojecten of bepaalde vormen van transport. In het algemeen geldt: hoe groter de organisatie hoe meer variatie er mogelijk is. De precieze prijzen en polisvoorwaarden verschillen
B
edrijfsschade kent tal van variaties: brand, stormschade, inbraak, hackers die een systeem binnendringen, noem maar op. De gevolgen ervan kunnen groot zijn. Denk aan de fabriek die al na een klein brandje een paar dagen stil kan komen te liggen, of aan de webshop die na een hack niets meer kan verkopen. Loonkosten en andere vaste lasten moeten in de periode dat een bedrijf stilligt immers gewoon worden doorbetaald. Wat de kansen op de verschillende vormen van schade zijn, verschilt uiteraard per bedrijf. Een bedrijf dat smartphones verhandelt, zal zich op een andere manier tegen inbraak moeten beschermen dan een bedrijf dat betonnen platen verkoopt. Gelukkig hoef je niet zelf het wiel opnieuw uit te vinden. Specialisten bij verzekeraars of onafhankelijke tussenpersonen en adviesbureaus kunnen je helpen bij het bepalen waar voor jou de risico’s liggen. Die zijn afhankelijk van het gebouw waarin het bedrijf is gehuisvest en de locatie ervan - hartje stad, of aan de rand van een dorp in Oost-Groningen, van het soort werkzaamheden dat een bedrijf verricht, van het aantal medewerkers en nog tal van andere variabelen. En vergeet ook niet om werknemers te raadplegen over de risico’s: zij zijn immers degenen die zich met de alledaagse processen bezighouden en weten waar het daar makkelijk mis kan gaan. Cyberattack Als de risico’s zijn ingeschat volgen de preventieve maatregelen. “Denk hierbij aan basale zaken als de
aanleg van een sprinklerinstallatie, een inbraakalarm en cameratoezicht, maar bijvoorbeeld ook aan bescherming tegen een cyberattack”, zegt Marko van Leeuwen, beleidsadviseur bij het Verbond van Verzekeraars. Dat laatste krijgt steeds meer aandacht, ook van verzekeraars, mede doordat sinds begin dit jaar de Meldplicht Datalekken van kracht is. Volgens Van Leeuwen denken bedrijven vaak dat het wel goed zit als ze een webbeheerder en een professionele softwareleverancier hebben. Maar als data het belangrijkste bezit is van je organisatie en je voor een groot deel afhankelijk bent van geautomatiseerde processen, zal je toch echt veel meer beschermingsmaatregelen moeten nemen. ISO27001, een ISO-standaard voor informatiebeveiliging, is een goed uitgangspunt bij preventieve maatregelen op dit vlak, aldus Peter Voshol, managing director van Kiwa NCP, een certificatie-instelling op het gebied van preventie. “Wat helpt bij deze beveiliging is goed nadenken over het daderprofiel: wat zou het uitgangspunt van de persoon kunnen zijn die jouw systeem wil binnendringen?” Keuzes maken Niet alle preventie is voor de volle honderd procent waterdicht en dus zijn er verzekeringen om de bedrijfscontinuïteit verder te borgen. Een bedrijf kan zich tegen bijna alles verzekeren, maar daar zijn ook kosten mee gemoeid. Je zal dus keuzes moeten maken, al dan niet in overleg met je adviseur. Welke risico’s
Uitkering naar sector (€ mrd)
70
72
69
74
75
totaal
Zorg Schade
Leven
2010
2011
2012
2013
2014
per verzekeraar, simpelweg omdat ze concurreren en het verboden is om hier afspraken over te maken. Preventieve maatregelen zijn voor veel verzekeraars wel een vereiste om je toe te laten, vaak zullen zij een risicodeskundige langs sturen om de risico’s en genomen maatregelen te beoordelen. Nieuwe of andere activiteiten Als er voldoende preventie is en de verzekeringscontracten getekend en wel in de la liggen, is het geen kwestie van achterover leunen. Vooral bij kleinere organisaties gaat het nogal eens mis, vertelt Van Leeuwen. Die houden dan onvoldoende rekening met de precieze voorwaarden van de verzekering, zoals eisen op het gebied van preventie of het aanmelden van nieuwe activiteiten. Een bedrijf dat eerst schoenen verkocht en nu ook smartphones gaat verkopen krijgt een ander risicoprofiel en dient dat bijvoorbeeld te melden aan de verzekering. Een regelmatige update is dus nodig. Je wil bijvoorbeeld ook het verzekerde bedrag omhoog schroeven als je bedrijf is gegroeid, anders kom je alsnog in de problemen als er zich schade voordoet. Mocht er sprake zijn van schade, dan neem je contact op met je verzekeraar of tussenpersoon. Die stuurt dan een schade-expert langs. “Het is onze opdracht om de aard, omvang en toedracht van de schade vast te stellen Wij rapporteren dat aan de verzekeraars die ons rapport weer langs de polis houden”, zegt Johan Fröhlich, voorzitter van het NIVRE, belangenbehartiger van schade-experts. Als je het als verzekerde niet eens bent met de schade-experts van de verzekeraar, heb je het recht om contra-expertise in te schakelen. In Nederland gebeurt dit vooral als het gaat om grotere bedragen. Wanneer je een financieel adviseur inschakelt, zal die ook kijken naar of je niet bent oververzekerd of dubbel bent verzekerd, zo zeggen de experts. Mocht er toch sprake zijn van dubbeling, dan zullen de verzekeraars het uit te keren bedrag delen, van een dubbele uitkering is nooit sprake. Risicobewustzijn Hoe je je ook verzekert en op wat voor manier je ook aan preventie doet: de belangrijkste manier om je bedrijfscontinuïteit te waarborgen is door iedereen in het bedrijf bewust te maken van de risico’s. “Als dat er bij het management niet is, zal er niets veranderen. En als dat er in een later stadium bij werknemers niet is, dan kan de directie nog zo hard z’n best doen, maar dan gebeurt er ook niets”, aldus Voshol. Van Leeuwen geeft een voorbeeld: “Ik kan een vijfsterrenslot op m’n deur plaatsen, maar als er vervolgens allemaal sleutels bij ex-medewerkers liggen, heb ik daar weinig aan.” En Fröhlich waarschuwt: “Als in je polis staat opgenomen dat brandbaar afval op afstand van je gebouw moet worden geplaatst, en je medewerkers plaatsen het toch tegen het gebouw dan keert je verzekering niets of minder uit.”
PULSE MEDIA GROUP
|
BEDRIJFSCONTINUÏTEIT VERZEKERD MVO
BEDRIJFSSCHADE
7
ADVERTORIAL
Risicomanagement is denken in scenario’s
H
et is de grote angst van iedere ondernemer: je komt ’s ochtends bij je bedrijf en door een gesprongen leiding staat alles onder 30 centimeter water. Of erger nog: het hele bedrijfsgebouw is tot de grond toe afgebrand. Veel ondernemers realiseren zich niet dat de schade door verstoorde bedrijfsprocessen vele malen hoger kan uitvallen dan de directe schade. Om die schade te verminderen, kunnen verzekeraars en tussenpersonen al in een vroegtijdig stadium met raad en daad terzijde staan. Als gebouwen of machines door een brand of overstroming beschadigd raken, ligt ook de productie stil. Naast de kosten voor het herstellen van de directe schade leidt de ondernemer omzetverlies en heeft hij te maken met bijvoorbeeld kosten voor het verplaatsen van de productie naar een tijdelijke locatie. “Veel bedrijven hebben nog weinig oog voor bedrijfsschade,” zegt Guido Lindeman, Underwriter (acceptant) Fire bij verzekeraar MS Amlin. “De gevolgschade als gevolg van een calamiteit is tegenwoordig al snel twee tot drie keer zo hoog als de directe schade.” Een goede bedrijfsschadeverzekering, waarbij de gevolgschade wordt afgedekt is dan onontbeerlijk. Calamiteit Zo’n calamiteit overkwam enige tijd geleden de industriële wasserij en stomerij-onderneming Moderna Textielservice. In de nacht van 9 op 10 oktober 2013 verwoestte een grote brand het complete bedrijfspand van Moderna Textielservice in Gramsbergen. Terwijl de directie meteen een ambitieuze deadline neerlegde om een jaar na de brand de zaak weer op de rails te hebben, werd het werk ondergebracht bij een tiental andere wasserijen, van Eindhoven tot Middenbeemster. Nog in de nacht van de brand bestelde Moderna Textielservice nieuw textiel om klanten te kunnen blijven leveren en werden twee extra buitendienstmedewerkers aangenomen om alle klanten te vertellen dat het bedrijf ondanks alles gewoon doorging.
Voor MS Amlin, die als leidende verzekeraar optrad in deze schade (zie kader) kwam deze daadkracht niet als een verrassing. Moderna Textielservice was zich terdege bewust van het gevaar van brand en had verzekeringstechnisch haar zaken goed op orde, vertelt Michel Vilijn, Manager Claims bij MS Amlin. “De directie stond positief tegenover risicobeheersing en luisterde goed naar adviezen van verzekeringsdeskundigen.” Risicomanagement en risicobewustzijn Het adviseren over risicomanagement begint lang voor een ramp zich aandient. Verzekeraars als MS Amlin hebben hiervoor Risk Engineers in dienst die het management van een onderneming adviseren over zaken als brandwerende of –vertragende maatregelen of een goed bedrijfscontinuïteitsplan. “Hierbij stimuleren wij ondernemers om te denken in scenario’s,” zegt Risk Engineer Peter Zeilstra van MS Amlin. “Wat kan er allemaal gebeuren en hoe ga je daarmee om? Kan je uitwijken naar andere locaties? Kan je je klanten nog wel blijven bedienen? Hoe lang duurt het voordat je je bedrijfsprocessen weer op gang hebt?” De lijst met vragen is bijna oneindig. Lindeman, Vilijn en Zeilstra wijzen er ook op dat een calamiteit niet eens in het eigen bedrijf hoeft te liggen. Als bij een toeleverancier, een afnemer of zelfs bij de buurman een calamiteit plaatsvindt, kan dat ook tot schade leiden. En niet alleen een brand kan de continuïteit van een onderneming in gevaar brengen. Lindeman: “Als je aansprakelijk wordt gesteld voor een bedrag dat de dekking van je aansprakelijkheidsverzekering te boven gaat, zijn de gevolgen ook niet te overzien.” Spanningsveld Een brandverzekering dekt de directe schade als gevolg van bijvoorbeeld een brand of explosie. Een bedrijfsschadeverzekering dekt het omzetverlies als gevolg daarvan. De onderneming is verzekerd tot de omzet weer terug is op
het oude niveau. De dekking is echter beperkt tot een in de polis benoemd bedrag en uitkeringstermijn. Wanneer die grens is bereikt, eindigt de dekking. “Daar kan een spanningsveld ontstaan tussen waar de ondernemer op hoopt en wat de verzekeraar kan bieden,” erkent Vilijn. De extra kosten die een ondernemer wil maken, bijvoorbeeld investeringen die hij wil doen om zijn bedrijf weer op de rails te krijgen, kunnen hoger zijn dan de omzet die hij maakt. Hier ligt een belangrijke taak voor de tussenpersoon, die als belangenbehartiger voor de klant kan optreden, en expertisebureaus. “Als verzekeraar kunnen wij, samen met de tussenpersoon en de ondernemer, de risico’s met betrekking tot directe zaken en bedrijfsschade inventariseren en analyseren. Denk hierbij aan de bouwaard van een pand, de installaties, processen, beveiliging en ga zo maar door,” zegt Zeilstra. Lindeman vult aan: “De tussenpersoon kijkt daarnaast ook naar zaken als aansprakelijkheid, bepaalt vooraf samen met de ondernemer welke risico’s hij niet kan of wil dragen en zoekt daarbij een passende verzekeringstechnische oplossing.” Alle klanten zijn er nog Moderna Textielservice deed er alles aan om binnen een jaar weer volledig operationeel te zijn. Op een nieuwe locatie ook nog, want herbouw op de bestaande locatie bleek niet direct mogelijk. “Het werd ons al snel duidelijk dat Moderna Textielservice de schade zo snel mogelijk achter zich wilde laten en de normale routine weer wilde oppakken,” zegt Vilijn. “Een van de zaken waar wij als verzekeraar scherp op hebben gelet, was de solvabiliteitspositie van het bedrijf. Moderna Textielservice moest lopende rekeningen kunnen betalen en zaken aanschaffen om door te kunnen. Maar in het schaderegelingsproces is geen pinautomaat, waar je even snel geld uit kan halen.” Ook hierbij loont plannen, vooruit denken en scenario’s doorrekenen.
Tijdens de nieuwbouw heeft MS Amlin Moderna Textielservice kunnen ondersteunen met preventie-adviezen over bijvoorbeeld bouwmaterialen, brandwerende scheidingsmuren en de sprinklerinstallatie. “Nieuwbouw is het moment om over dit soort scenario’s na te denken,” benadrukt Zeilstra. “Mede daardoor hebben wij de schade ook versneld definitief kunnen regelen en hebben we alles inderdaad een jaar later gezamenlijk kunnen afsluiten,” zegt Vilijn. “Iedereen kreeg het eindresultaat waar het om te doen was, namelijk dat het bedrijf is herbouwd en dat alle klanten er nog zijn.”
Meer informatie MS Amlin is in februari 2016 ontstaan uit de overname van Amlin plc door Mitsui Sumitomo Insurance Company (MSI). MS Amlin is wereldwijd actief als verzekeraar en herverzekeraar en heeft meer dan honderd jaar ervaring. In Nederland is MS Amlin een toonaangevende speler op het gebied van brand- en aansprakelijkheidsverzekeringen, technische verzekeringen, wagenparken en transportverzekeringen (aanbouw, binnenvaart, lading, aansprakelijkheid) voor de MKB- en grootzakelijke markt. MS Amlin opereert in de coassurantiemarkt, waar complexe of (financieel) omvangrijke risico’s worden verzekerd. Op één polis kunnen meerdere verzekeraars optreden als risicodrager. Iedere verzekeraar tekent voor een bepaald percentage op de polis en draagt bij een eventuele schade ook met hetzelfde percentage bij aan de schadevergoeding. De teams van MS Amlin doen zaken met tussenpersonen en volmachthouders om verzekeringen te kunnen bieden voor alle soorten ondernemingsrisico die specialistische underwritingexpertise vereisen.
8
PULSE MEDIA GROUP
CYBERRISICO'S
BEDRIJFSCONTINUÏTEIT VERZEKERD
ADVERTORIAL
Schadescenario’s voor cybercrime oneindig
“
Toenemende dreiging en nieuwe wetgeving zorgen ervoor dat bedrijven cybersecurity serieus nemen en dat ze besluiten het risico via een verzekering af te dekken”, zegt Joppe Willeboordse van schadeverzekeraar HDI.
nooit volledig te beheersen. Phishingmails worden steeds geloofwaardiger en professioneler, en spelen sluw in op menselijke zwakheden. Er zijn ook economische redenen: het zelf pareren van DDoS-aanvallen is zeer kostbaar.
Waar moet een bedrijf aan denken bij een cyberverzekering? “Een cyberverzekering dekt de schade als gevolg van een cyberincident zoals hacking of een DDoS-aanval, en is in te delen in een first- en een thirdpartydekking. De first-partydekking betreft eigen kosten, zoals de kosten van IT-forensisch onderzoek, het herstel van data en software, of de bedrijfsschade doordat het bedrijfsproces is stilgevallen. De verzekering dekt ook kosten die gepaard gaan met een datalek, bijvoorbeeld juridische kosten en pr-advies om reputatieschade te beperken. Ook voor fraude als gevolg van gehackte e-mails van CEO’s, cyberafpersing en cyberspionage biedt HDI verzekeringsoplossingen. De third-partydekking betreft de schadevergoeding en verweerkosten indien verzekerde aansprakelijk wordt gesteld wegens tekortschietende ITbeveiliging, of het onzorgvuldig omgaan met gegevens.”
“Wij prefereren de risicodialoog”
Waarom zou een bedrijf ervoor kiezen om cyberrisico’s te verzekeren? “Ten eerste is het de menselijke factor waar het vaak misgaat, en dat risico is
Daarnaast zijn IT-systemen steeds meer gekoppeld aan internet en met elkaar geïntegreerd waardoor de kwetsbaarheid voor cybercrime wordt vergroot en de totale schade enorm kan zijn. Ook belangrijk: bedrijven stallen steeds meer gegevens in de cloud. Als deze worden gehackt, blijft men verantwoordelijk. Concluderend; de schadescenario’s zijn oneindig en daardoor is het risico voor bedrijven moeilijk in te schatten en te beheersen.” Hoe kijkt u aan tegen preventie? “Adequate IT-security is een voorwaarde om een verzekering af te kunnen sluiten. Echter, zeer weinig bedrijven hebben hun zaakjes op gebied van ITsecurity perfect op orde. Integendeel, vrijwel elk bedrijf heeft hier nog de nodige stappen in te maken. Daarom prefereren wij de risicodialoog met klanten waarbij geïnventariseerd wordt welke maatregelen zijn getroffen en waar nog verbeterpunten zijn. We willen een
dat industriële besturingssystemen niet zijn ontworpen om hackers tegen te houden. Het ontregelen kan grote risico’s met zich meebrengen. Daarnaast speelt cyberspionage, volgens beveiligingsexperts een van de grootste actuele bedreigingen van de Nederlandse economie, in deze sector een belangrijke rol.
Joppe Willeboordse
serieuze partner zijn waarbij duidelijk is wat de klant van ons kan verwachten en vice versa. Onze risk-engineeringtak HDI Risk Consulting (HRC) zorgt ervoor dat wij nóg dichter bij onze klanten staan met schadepreventie als gemeenschappelijk doel.” Voor welke sectoren is een verzekering interessant? “HDI richt zich op meerdere sectoren, maar in het bijzonder op de industriële sector. Hier zijn wij het meest vertrouwd en hebben wij onze sporen verdiend. Aandachtspunt in deze sector is
Hoe komen jullie aan de benodigde kennis om de verzekering te voeren? “Voor de lancering van het product in Nederland werken wij nauw samen met ons moederkantoor in Duitsland waar zij al enige jaren ervaring hebben. HDI opereert wereldwijd, maar is in Nederland behoorlijk zelfstandig. Als drager van lokale kennis, met onze ervaring van de markt en de specifieke risico’s, beslissen wij over de verzekerbaarheid. Tegelijkertijd profiteren we optimaal van de schaalgrootte en capaciteit van een wereldwijd opererende groep.”
Meer informatie HDI Global SE, the Netherlands Joppe Willeboordse/ Senior Underwriter Special Lines Cyber
[email protected] 010-4036452
INTERVIEW met Johan Feenstra
Cyberrisico’s worden door het MKB onderschat
Johan Feenstra
D
iefstal van intellectueel eigendom, een dDos-aanval: een ondernemer in het MKB denkt misschien: dat overkomt mij niet zo snel als een groot bedrijf. Toch komt cybercriminaliteit ook hier voor. Johan Feenstra van Interpolis adviseert over risico’s, zowel verzekerbaar als onverzekerbaar. Wat zijn veel voorkomende cyberrisico’s voor het MKB? “Phishing mail, Ddos-aanvallen, ransomware, lekken van bijvoorbeeld
klantgegevens , diefstal van intellectueel eigendom, allerlei zaken die de bedrijfscontinuïnteit in gevaar kunnen brengen. MKB’ers moeten zich daar bewust van worden. De digitale economie biedt kansen, maar de risico’s moeten voor hen net zo belangrijk worden als verkeer, transport, brand en aansprakelijkheidsrisico’s. Cybercriminaliteit beslaat al ruim elf procent van de totale geregistreerde criminaliteit, blijkt uit politiecijfers.”
betrokkenen. Voldoe je daar niet aan, dan kun je boetes krijgen. Het lekken van bijvoorbeeld klantgegevens is geen cybercrime maar kan het gevolg zijn.”
Er zijn ook ondernemers die hier wel goed mee omgaan, wat doen zij? “Preventie is heel belangrijk: weten hoe je systemen in elkaar zitten en medewerkers aanspreken. Verkies inloggen op VPN in plaats van een open WiFi onderweg, wees secuur met wachtwoorden, verwijder accounts van oud-medewerkers, gebruik goede virusscanners. Het is nuttig om cybercrime in een toolbox-meeting aan de orde te laten komen. Om binnen het bedrijf aandacht te vragen van de directie bij het personeel. Wat zijn de procedures en hoe werkt het? Hang posters op, deel informatie uit.”
“Bij “full disclosure” gooien hackers hun ontdekking op straat om organisaties te dwingen direct wat aan het lek te doen”
Op welke wetgeving moet je als ondernemer letten? “De Meldplicht Datalekken is een belangrijke. Hij geldt sinds 1 januari. Dat houdt in dat je direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra je een ernstig datalek hebt. Soms moet je het datalek ook melden aan de
Wat moet je doen bij calamiteiten? “Ik raad ondernemers aan om een calamiteitenplan op te stellen. Een noodscenario, zodat je vooraf weet wat je moet doen als zich een calamiteit voordoet. Ervaring leert dat zowel materiële als bijvoorbeeld imagoschade
met zo’n plan beperkt wordt. Breng je klanten op de hoogte en controleer of je geen schade bij anderen hebt veroorzaakt. Check je aansprakelijkheid en kijk hoe je je bedrijfsprocessen weer kunt oppakken. Je moet hoe dan ook openheid van zaken geven. Een goede reputatie komt te voet en gaat te paard.” Hoe kun je schade door cybercriminaliteit voorkomen? “Je moet weten hoe je systemen in elkaar zitten en waar mogelijk zwaktes zitten: niet alleen de hardware en software, maar ook de procedurele kant: wie heeft
toegang waartoe? Je kan bij ons op de website al een eenvoudige security check doen om te weten waar je staat. Voor wie dieper wil gaan, bieden we ook een cyberpreventiedienst aan, in samenwerking met Capgemini. Daarbij wordt je bedrijf doorgelicht en krijg je een rapport op maat over de risico’s die bij jou spelen en hoe je ze kunt ondervangen. Deze dienst zit heel erg aan de voorkant: preventie. En aansluitend daarop hebben we nu ook 2 cyberoplossingen in de Preventiewinkel. Voorkomen is beter dan verzekeren vinden wij. Een disclaimer op je website kan ook al helpen? “Zeker, een tip voor ondernemers: plaats een “Responsible Disclosure” banner op je website. Daarmee nodig je bezoekers, maar ook ethische hackers uit om ICT zwaktes die zij zien, bij jou te melden. Dan kun je maatregelen treffen. Bij “full disclosure” gooien hackers hun ontdekking op straat om organisaties te dwingen direct wat aan het lek te doen. Responsible disclosure gaat in samenspraak.”
Meer informatie www.interpolis.nl/cyber
[email protected]
PULSE MEDIA GROUP
|
CYBERRISICO'S
BEDRIJFSCONTINUÏTEIT VERZEKERD MVO
Relatief nieuwe risico’s afdekken en verzekeren
9
Van onze redactie Auteur: Irina Mak
Windmolens en natte zomers Energievoorziening is ook een heikel punt, aldus Paymans. Windmolens worden steeds meer en steeds verder op zee gebouwd in plaats van op land. Ze zijn minder makkelijk te bereiken, staan onder invloed van golven en zeewater, dus: andere risico’s. Verzekeraars zoeken daar dekkingen voor. “Klimaatverandering heeft sowieso een grote impact op bedrijfsprocessen”, zegt Verheijden, “Er is niemand meer die dat ontkent.” Iedereen herinnert zich recente natte zomermaanden en straten en polders die wekenlang blank stonden. Overstromingen zijn daardoor weer een belangrijk thema: wat als je fabriek in een uiterwaard staat?
N
ederlandse bedrijven leiden tien miljard euro schade per jaar door cybercriminaliteit, aldus organisatie-adviesbureau Deloitte. DDoS-aanvallen, gestolen wachtwoorden, gehackte klantgegevens of chantage via internet spelen ondernemers parten. Daar kunnen in de toekomst nog boetes van de overheid bovenop komen als bedrijven inbreuken niet melden, zoals de Meldplicht Datalekken voorschrijft. Gevolgen van cybercrime zijn onder meer het verlies van intellectueel eigendom, marktaandeel, schade door het vrijkomen van privacygevoelige data en domweg het verdwijnen van geld. “Het ene bedrijf is er gevoeliger voor dan het andere en sommige bedrijven zijn er ook alerter op dan andere. Adviseurs kunnen voor al deze bedrijven de specifieke risico’s in kaart brengen”, zegt Wim Span, directeur van de brancheorganisatie voor de zakelijke verzekeringsmarkt VNAB. Bedrijven moeten ter preventie zowel technische als procedurele maatregelen nemen. Dat laatste betekent bijvoorbeeld zorgvuldig zijn met wachtwoorden en nadenken over kwaadwillende medewerkers. Je moet klanten op de hoogte stellen,
herstel plegen en nieuwe inbreuken voorkomen. Het is de taak van verzekeraars en verzekeringsmakelaars om bewustzijn te creëren, aldus Span. Dagelijks worden talloze cybercrimeverzekering afgesloten, zeker als een aanval het nieuws haalt.
die kunnen opvangen. Beiden werken bij als registermakelaar in assurantiën en Paymans is bestuurslid van het platform
Andere ontwikkelingen waarvoor de branche oplossingen bedenkt zijn volgens de VNAB aansprakelijkheid rondom drones, 3D-printing en online dienstverlening. Nieuwe ontwikkelingen stellen hoge eisen aan de vakbekwaamheid van verzekeringsadviseurs: verstand van de markt hebben en deze kennis kunnen toepassen in de dagelijkse werkpraktijk. Bijvoorbeeld via ethische hackers die beveiligingslekken opsporen.
zakelijke verzekeringen van Adfiz, de branchevereniging van onafhankelijk financieel adviseurs. Eén van de hete hangijzers is sanctiewetgeving. Nadat de EU sancties afkondigde tegen Rusland, boycotte dat land Nederlandse groente, fruit, zuivel en vlees.
Politieke onrust en terrorisme Eén van de relatief nieuwe risico’s voor ondernemingen zijn recente geopolitieke spanningen zoals die rond Rusland, Oekraïne en het MiddenOosten. De zorgplicht van verzekeraars komt daarbij kijken. Guido Verheijden en Onno Paymans leggen uit dat de hele verzekeringsindustrie klanten informeert over bedrijfsrisico’s en hoe ze
Andere verwante bedrijfsrisico’s zijn de gevolgen van terrorisme. Paymans: “Stel dat jouw bedrijf in Yemen geconfisqueerd wordt. Wat doe je dan? Zelfs voor zulke situaties bestaan verzekeringen.” Een verzekeringsmakelaar stelt een risicoprofiel op en adviseert: welke risico’s kun je zelf voorkomen en welke kun je verzekeren?
Bij calamiteiten spelen ook makelaars een belangrijke rol, aldus Paymans. Zij bemiddelen niet alleen voor schadeuitkeringen, maar helpen een bedrijf ook weer up- and-running. Bijvoorbeeld door elders tijdelijke bedrijfsruimtes of machines te helpen huren. Lagere kosten Er zijn ontwikkelingen die zorgen dat risico’s juist verkleinen en premies voor verzekeringen lager worden. Dankzij nieuwe snufjes en de opkomst van de zelfrijdende auto worden minder verkeersongelukken verwacht. Volvo streeft naar nul verkeersdoden onder Volvo-bestuurders in 2020. Robotisering vermindert vaak menselijke fouten. Big data helpt risico’s beter te voorspellen en schade in te schatten. Gaat een bepaald onderdeel in een machine na 80.000 handelingen telkens kapot? Dan weet je wanneer je het preventief moet vervangen. Ondertussen zoeken ondernemers voor verzekeringen een partij die op de hoogte is en de vertaalslag kan maken naar hun bedrijf. Geen schip vaart uit, geen vrachtwagen vertrekt, geen bouwplaats of kantoor draait zonder goede verzekering, aldus Span van de VNAB. Gelukkig is de Nederlandse verzekeringsmarkt volgens hem een bijzondere, zowel qua kwaliteit van advies als qua prijsstelling.
INTERVIEW met Jack Hommel
Goed zicht op bedrijfsrisico’s zorgt voor ruimte in je hoofd
A
steeds meer druk om inzicht te geven in hoe je omgaat met risico’s.”
Risicomanagement was binnen het mkb lange tijd een ondergeschoven kindje, maar nu lijkt er een kentering op te treden. Waardoor komt dat? “Ondernemers zijn van nature liever bezig met kansen dan met risico’s. Ze lijken nu echter steeds beter in te zien dat de bedrijfscontinuïteit in gevaar komt als ze zich niet ook met hun risico’s bezighouden. Door risico’s te managen kun je de kans op schade verminderen en een bewuste keuze maken of je een risico misschien wilt uitbesteden. Ook is er in de keten, vooral vanuit grote bedrijven,
Hoe kun je als ondernemer je risico’s het beste inschatten? “De meeste financieel adviseurs maken gebruik van een vragenlijst die ze doorlopen met een ondernemer. Maar wij denken dat juist ook het personeel veel kan zeggen over de risico’s in de dagelijkse praktijk: denk bijvoorbeeld aan de schoonmaker in een ziekenhuis die ziet dat er ’s avonds vaak een medicijnkast open blijft staan, of aan een HR-medewerker die voorziet dat er bij groei niet voldoende opgeleid personeel te vinden is. Daarom ontwikkelden we bij Avéro Achmea De Ruimtemakers, een programma waarmee de adviseur ook met het personeel in gesprek gaat over bedrijfsrisico’s. Daardoor ontstaat er een compleet beeld van de risico’s en
ls ondernemer ben je continu op zoek naar kansen in de markt. Maar wie slim onderneemt, houdt zich ook bezig met de risico’s, zegt Jack Hommel, directeur Distributie Zakelijk Schade bij verzekeraar Centraal Beheer Achmea en Avéro Achmea.
En als je snel geïnformeerd wilt worden? “Voor een snelle en efficiënte methode kun je bij Centraal Beheer online een risicoscan invullen. Met die van ons breng je bijvoorbeeld binnen tien minuten je vijf belangrijkste bedrijfsrisico’s in kaart en krijg je vervolgens advies over hoe je bepaalde risico’s kunt beperken. Als er bijvoorbeeld brandbare spullen tegen de gevel van het gebouw staan opgeslagen is een van de adviezen om ze minimaal tien meter van de geval te plaatsen.”
Jack Hommel
krijgt de ondernemer letterlijk ruimte in zijn hoofd om zich weer te focussen op kansen en doelen.”
Meer informatie De Ruimtemakers: www.deruimtemakers.nl Risicoscan: www.centraalbeheer.nl/risicoscan
10
PULSE MEDIA GROUP
BEDRIJFSCONTINUÏTEIT MANAGEMENT
BEDRIJFSCONTINUÏTEIT VERZEKERD
BCM: waarborg de continuïteit van uw bedrijf
H
et waarborgen van de continuïteit van een bedrijf is een belangrijke taak van het management van de organisatie. Het in kaart brengen van risico’s en het nemen van maatregelen ter preventie van het optreden van calamiteiten, maar ook maatregelen die bij een calamiteit in werking treden, zouden essentiële processen moeten zijn. Toch heeft lang niet iedere organisatie dat voor elkaar of zelfs maar helder op het netvlies. Business Continuity Management (BCM) is een managementproces dat niettemin op steeds meer belangstelling mag rekenen. Om professionals op dit vlak te certificeren en het vak verder te professionaliseren, is de Business Continuity Institute (BCI) internationaal actief. Holistisch proces Werner Verlinden, fellow van de BCI en voorzitter van de inmiddels opgerichte Nederlands-Belgische Chapter van het BCI, legt uit wat onder BCM verstaan moet worden. BCM is een holistisch managementproces dat potentiele risico’s in een organisatie identificeert, als ook de impact die deze bedreigingen op het voortbestaan van de organisatie hebben in kaart brengt, mochten die bedreigingen werkelijkheid worden, zegt Verlinden. De volgende stap in dit proces is dan het inrichten van een proces dat in werking treedt zodra een calamiteit optreedt. In dat holistisch proces zijn er drie stappen. Het gaat om preventieve maatregelen opdat de kans op een verstoring van een risicovol proces geminimaliseerd wordt. Het gaat bovendien om het inrichten van een proces waardoor, als een calamiteit optreedt, adequaat door de organisatie kan worden gehandeld.
En ten derde gaat het om het herstellen van wat een calamiteit heeft aangericht, van imagoproblemen tot fysieke schade. Alle drie de stappen vallen onder BCM en moeten op orde zijn. Verlinden: “Het doel is een veerkrachtige organisatie, die aldus de belangen van stakeholders veiligstelt en zorgdraagt voor de bescherming van een merk.” Slecht weer BCM is een relatief nieuw managementproces. Natuurlijk kenden organisaties altijd al risico’s, maar met de intrede van het internet en snellere computers en IT-processen, is de afhankelijkheid van ICT steeds groter geworden. In de top 3 van bedreigingen die bedrijven ervaren, staan drie ITgerelateerde processen: een cyberaanval, een datalek en uitval van IT- en telecomdiensten. Maar er zijn vele processen die voor bedrijven risico’s inhouden, legt Andrew Scott uit, communicatiemanager van de overkoepelende internationale BCI. Denk aan verstoringen van de bevoorradingsketen, terrorisme, maar ook gezondheidsrisico’s voor medewerkers en omwonenden, of ontevreden medewerkers, zegt hij. “Wat voor een bedrijf de echte risico’s zijn, heeft te maken met de branche waarin het opereert, maar ook met de regio. Verstoringen van water- en energietoevoer zijn in Afrika een hot topic, terwijl corruptie en slecht weer in Midden-Amerika bedreigende factoren zijn.” De maatschappelijke context verandert door de jaren heen en in die zin veranderen risico’s ook. Denk aan de terroristische aanvallen waarmee we te maken hebben. Of het feit dat we door Het Nieuwe Werken niet langer
permanent een gebouw nodig hebben waar we samen komen om te werken. Cyberattack Belangrijk is dat ieder bedrijf zelf beoordeelt welke oorzaken een risico kunnen vormen voor het voortbestaan ervan. Sommige bedrijven moeten dat doen als gevolg van wetgeving, zegt Scott. Denk aan banken en nutsbedrijven. Daarvoor geldt dat de maatschappelijke impact groot is als daarmee iets misgaat. “Maar voor andere bedrijven is het niettemin verstandig om dat ook in kaart te brengen.” Bedrijven
PROFIEL
Secure by Desire bedrijfsmiddelen is verworden tot een maatschappelijk thema en verschuift van IT-issue naar een vast agendapunt in de bestuurskamer. “En terecht. De tijd van incidenteel management is voorbij”, aldus Rogier van Agt, Director Cybersecurity bij IT-dienstverlener Sogeti. “In dit digitale tijdperk, waarin bedreigingen aan de orde van de dag zijn, is het zaak om securitykennis permanent beschikbaar te hebben.” Steeds meer directies en bestuurders vragen zich af: “Hoe veilig zijn we eigenlijk? Hoe is onze continuïteit geregeld?” De kans op continuiteitsverstoring door cybercriminelen, -terroristen of -activisten is veel voor de hand liggender dan de verstoring door brand, epidemieën of overstromingen. De vraag is niet of je wordt gehackt, maar wanneer. Rogier van Agt
N
oem eens één bedrijf dat niet sterk afhankelijk is van haar IT-systemen. Zelfs de bakker om de hoek is sterk afhankelijk van IT, dat verstoring van de IT ook direct impact heeft op de business continuiteit. Daarom is security en continuiteit zo belangrijk. Hoe weerbaar (resilient) is je bedrijf? Nieuwe manieren van werken en toenemende interactie met de buitenwereld zetten ‘cyber’ in een nieuw daglicht. De bescherming van essentiële
Voorheen werden veiligheidsmaatregelen reactief genomen. Dat is per definitie te laat. Met het inbedden van securitymaatregelen in het initiële proces kunt u veel gedoe, tijd en kosten besparen. De tijd van ‘moeten’ is voorbij, de tijd van ‘willen’ is aangebroken. Daarbij zijn de volgende stappen onontbeerlijk: PREVENT Voer preventief securitybeleid De belangrijkste les is dat gelijk bij de start van het ontwerp en de ontwikkeling van IT-systemen niet alleen functionele,
maar ook security-requirements worden meegenomen. Zeker bij de adoptie van het Internet of Things is dergelijke security by design absoluut noodzakelijk.
bijzonder naar informatiesystemen en processen. Zij kunnen kwetsbaarheden blootleggen waaraan u niet had gedacht. Hun aanval is uw beste verdediging.
Wissel kennis en personeel uit Op eenmaal vergaarde security-kennis moet je zuinig zijn. Het is daarom van belang kennis en continuïteit te borgen. Onderdeel daarvan is retentie van de securitymedewerkers. Door ze te blijven uitdagen, kunt u ze aan de organisatie verbinden.
RESPOND Als u de juiste maatregelen treft, kunt u security in uw organisatie zo vormgeven dat het een vanzelfsprekendheid wordt. Toets deze maatregelen op voorhand, zodat als deze noodzakkelijk worden, ook meteen uitvoerbaar zijn. Hierdoor kunt u altijd de juiste response toepassen.
Stuur op gedragsverandering Borgen van veiligheid is ook een kwestie van gedrag. Uw medewerkers moeten zich bewust worden van de gevaren van verkeerd handelen. Daarbij kunt u niet volstaan met een willekeurige training. Echte gedragsverandering is een kwestie van bij de les houden, totdat de juiste handelswijze tweede natuur is.
Security is niet langer iets wat moet, maar wat de organisatie intrinsiek wíl, om weerbaar te zijn tegen cyber bedreiging van buitenaf. Resilience tegen Cyber. Dat betekent dat we Van Secure by Design naar Secure by Desire bewegen.
DETECT Blijf monitoren Data omzetten in kennis en intelligentie helpt bij het nog beter anticiperen op afwijkend gedrag. Meten is weten. Dat is ook van toepassing op security. Door IT-systemen actief en voortdurend te monitoren, heb je continu inzicht in wat er precies gebeurt. Haal ethische hackers in huis Ethische hackers kijken op een andere manier naar de wereld en in het
Meer informatie Sogeti Nederland B.V. Lange Dreef 17 4131 NJ Vianen +31 886 606 600
[email protected] www.sogeti.nl/security
PULSE PULSE MEDIA MEDIA GROUP GROUP
|
BEDRIJFSCONTINUÏTEIT MANAGEMENT
BEDRIJFSCONTINUÏTEIT VERZEKERD MVO
11
Van onze redactie Auteur: Ellen Kleverlaan
bestuurslid van de Nederlands-Belgische Chapter van de BCI. Denk aan een cyberattack, zegt Crooymans: “Als bedrijven het beschermen van hun ICT goed op orde hebben, dan is dat weliswaar een belangrijke stap. Maar het gaat ook om het inrichten van processen voor het geval er toch een cyberattack plaatsheeft en de schade hersteld kan worden.” Hoe snel kan een organisatie ingrijpen? Wie is
kunnen meestal wel omgaan met het verlies van een gebouw, maar kunnen zich heel moeilijk voorstellen wat een impact een terroristische aanval of een cyberattack zou hebben. Sommige risico’s zijn dan in kaart gebracht, andere niet. Schadeherstel Wat ook gebeurt, is dat een bedrijf wel het nodige heeft gedaan aan preventie om zo calamiteiten te voorkomen of risicovolle processen af te dekken, maar niet heeft nagedacht over wat te doen als toch een calamiteit optreedt, zegt Michael Crooymans,
verantwoordelijk voor het nemen van dan cruciale beslissingen? Hoe snel kan een back-upsysteem functioneel zijn? Wie neemt de communicatie naar stakeholders voor zijn rekening? Welke stappen moeten ondernomen worden om de schade te herstellen? Maar ook: wie vervangt wie als de eerstverantwoordelijke onbereikbaar is? Het zijn allemaal vragen waarover de organisatie moet hebben nagedacht en het proces op moet zijn ingericht. Kostbare zaak Met preventieve maatregelen alleen ben je er niet. Scott noemt een lijstje namen van organisaties die de laatste jaren door cyberattacks zijn overvallen. Van Ebay en de BBC tot J.P. Morgan. Niet de minste
namen en toch gebeurt het hen, ondanks de vaak hoge investeringen om cyberaanvallen te pareren. Een vaak kostbare zaak, financieel maar ook voor het imago. Daarom is het verstandig te investeren in een goed raamwerk van maatregelen die de schade ten minste voor een deel kunnen beperken. “Vraag je niet af of het gebeurt, maar eerder wanneer dat zal zijn en wees dus voorbereid”, zegt hij. Op het vlak van cyberattacks gaan de ontwikkelingen hard, en deinen criminelen mee op de innovatieve kracht van de branche. Zo is er inmiddels cryptoware die ook backupsystemen infecteert, waardoor een traditioneel backupsysteem al niet meer afdoende is. Professionals In Nederland en België zijn al zo’n 250 professionals gecertifieerd door het BCI. Er bestaan verschillende certificatieniveaus, die de kennis en ervaring van de professional reflecteren. De certificering is noodzakelijk om de kwaliteit van BCM hoog te houden. Naast certificering zorgt de BCI er ook voor dat de processtappen gestandaardiseerd worden. BCM-professionals maken van een uitgebreide versie van de Plan-Do-Check-Act-cirkel gebruik om BCM goed in te richten en steeds weer opnieuw te werken aan het verbeteren van het proces. Er zijn ook andere positieve effecten voor organisaties die besluiten om actief met BCM aan de slag te gaan: kostenbesparingen en effectiviteitswinst zijn met name bijproducten waar iedere manager blij van wordt. Maar het belangrijkste is het voorbestaan van de organisatie, dat zou iedere bestuurder stof tot nadenken moeten geven.
ADVERTORIAL
BCM-oplossingen: pragmatisch en resultaatgericht
V
resulteert in een totaaloverzicht dat in één oogopslag inzicht geeft in hoe snel welke processen weer ‘up-and-running’ moeten zijn en welke bedrijfsmiddelen hiervoor benodigd zijn.
eel organisaties hebben al de nodige continuïteitsmaatregelen getroffen ter voorbereiding op calamiteiten en verstoringen in de bedrijfsvoering. Toch zijn er nog genoeg bestuurders die hier niet de noodzaak van inzien. Ze denken al gauw: “zo’n calamiteit zal ons vast niet overkomen. En als het dan toch gebeurt, nou dan zien we dan wel weer”, aldus specialist op het gebied van Business Continuity Management (BCM), Alex Hoogteijling van organisatieadviesbureau BCM Specialist. “Bestuurders met een dergelijk nuchtere kijk op calamiteiten en verstoringen, zijn geneigd om bedrijfscontinuïteit verhogende maatregelen uit te stellen tot een moment dat hier meer tijd, geld of noodzaak voor is. Bijvoorbeeld omdat het opeens moet van de toezichthouder, een auditor of een belangrijke klant. Dat moment zou zomaar eens te laat kunnen zijn. Bovendien, van uitstel komt afstel.” Hoe krijgen jullie dergelijke bestuurders dan toch enthousiast voor BCM? “Door zelf ook nuchter met dit onderwerp om te gaan en met praktische BCM oplossingen te komen die in de ogen van bestuurders wel van nut zijn en tevens voorzien in de behoefte van de organisatie. BCM wordt nu door theoretici en veel andere consultancy organisaties vaak moeilijker gemaakt dan het in werkelijkheid is. Hierdoor zien bestuurders er ook als een berg tegenop om dit onderwerp op te pakken.”
Alex Hoogteijling
Op welke wijze maken jullie BCM dan eenvoudiger? “Wat onze klanten zo waarderen aan BCM Specialist, is dat wij onze vaktechnische BCM kennis zo goed weten te vertalen naar eenvoudige bewoordingen die voor iedereen zijn te begrijpen. Daarnaast zijn wij met onze 18 jaar aan BCM consultancy ervaring in staat om snel praktijkgerichte BCM oplossingen op te leveren waar een organisatie ook daadwerkelijk wat aan heeft. Veel andere consultancy organisaties lijken het totstandkomingsproces als doel en niet als middel te zien. Daarbij volgen zij precies volgens het boekje bepaalde theoretische methodieken met bijbehorende ingewikkelde en tijdrovende analyses. BCM Specialist gaat
een stuk pragmatischer te werk en richt zich meer op het eindresultaat. Dergelijke analyses zijn namelijk slechts een tussenproduct die de bedrijfscontinuïteit niet direct verhogen.” Maar analyses zijn toch ook nodig om BCM te implementeren? “Jazeker, maar wij voeren deze dan op zeer pragmatische wijze uit waardoor dezelfde informatie in veel korter tijdsbestek wordt verkregen. Zo maken wij voor continuïteitsrisicoanalyses bijvoorbeeld gebruik van stemkastjes die gekoppeld zijn aan risicoanalysesoftware. Hiervoor hoeft slechts één workshop te worden georganiseerd. Ook voor business impact analyses hanteren wij een eigentijdse aanpak die in korte tijd
Welke diensten levert BCM Specialist nog meer? BCM Specialist heeft een breed aanbod van Business Continuity Management gerelateerde diensten. Deze kunnen grofweg worden ingedeeld in audit, advies, implementatie en interim management. Organisaties kunnen bij ons bijvoorbeeld terecht voor totaaloplossingen waarbij BCM als managementsysteem wordt geïmplementeerd conform ISO22301, maar ook voor specifieke BCM onderdelen zoals het organiseren van een crisisoefening, BCM training of BCM quickscan. Daarnaast leveren wij uiteraard ook Business Continuity Plannen en andere BCM gerelateerde documenten zoals een crisiscommunicatieplan, recall procedure of continuïteitsbeleid. Wij leveren zelfs interim BCM managers op parttime en fulltime basis.
Meer informatie BCM Specialist Stekelbaars 68 4007NB Tiel 0344 613324 www.bcmspecialist.nl
[email protected]
12
PULSE MEDIA GROUP
BEDRIJFSCONTINUÏTEIT MANAGEMENT
BEDRIJFSCONTINUÏTEIT VERZEKERD
INTERVIEW met Nanko van Dijk
Hoe maak je een organisatie toekomstproof?
S
teeds meer organisaties stellen continuïteitseisen aan toeleveranciers. Een ISO- of NEN certificering op dit gebied kan dan ook van grote waarde zijn, zegt Nanko van Dijk, directeur van Kader, bureau voor kwaliteitszorg. Krijgt bedrijfscontinuïteit binnen organisaties voldoende aandacht? “Steeds meer. Dat zien we aan de toegenomen interesse in certificeringen, onder andere op het gebied van informatiebeveiliging (ISO 27001/NEN 7510) en bedrijfscontinuïteit (ISO 22301). Opdrachtgevers eisen steeds vaker dat hun toeleveranciers aan deze normen voldoen. Daarnaast is er ook een toenemende druk vanuit wet- en regelgeving, zoals bijvoorbeeld de nieuwe Wet Meldplicht Datalekken. Deze wet dwingt organisaties om goed over hun informatiebeveiliging na te denken, een belangrijk onderdeel
van de bedrijfscontinuïteit. Er moet echter toch nog meer bewustwording komen voor het belang van de borging van de bedrijfscontinuïteit. Organisaties verliezen bijvoorbeeld nog te vaak privacygevoelige gegevens, lopen tegen hoge kosten aan als gevolg van een calamiteit of komen in de problemen, door een faillissement bij een leverancier.” Wat is de meerwaarde van een ISO- of NEN certificering? “Een certificaat geeft vertrouwen bij (potentiële) opdrachtgevers. Certificering maakt aantoonbaar dat organisaties aan een bepaald niveau van borging voldoen. Organisaties die in aanmerking willen komen voor certificering, worden geholpen om alle mogelijke scenario’s met betrekking tot de bedrijfscontinuïteit of informatiebeveiliging onder de loep te nemen. Een fabriek waar laatst een brand
was uitgebroken, had bijvoorbeeld met andere fabrikanten afgesproken dat het in zo’n geval gebruik mocht maken van hun productiefaciliteit. Wanneer iemand pas gaat nadenken over wat er moet gebeuren als een ramp, diefstal, hack, of ongeluk zich al heeft voortgedaan, dan is het te laat. Daarnaast kan een certificering een concurrentievoordeel opleveren en kan in één klap de potentiële klantenkring worden vergroot.” Hoe is een certificaat te behalen? “Certificering is met een relatief korte doorlooptijd te realiseren, wanneer er professionele begeleiding wordt ingeschakeld. Wij helpen organisaties bijvoorbeeld bij het vaststellen wat er moet gebeuren, bij het doorvoeren van die maatregelen en bij het controleren of ze daadwerkelijk resultaat hebben. Als dat niet het geval is, kunnen we helpen
Nanko van Dijk
met bijstellen. Kortom, zo’n adviestraject resulteert in een praktisch en te certificeren managementsysteem dat goed aansluit bij de organisatiespecifieke situatie.”
Meer informatie www.kader.nl 030 243 64 64
ADVERTORIAL
Gisteren is uw bedrijf een crisis overkomen
S
tel dat gisteren uw organisatie een calamiteit of crisis is overkomen. Ziet u, op het moment dat u dit artikel leest, dan meteen voor u wat u ogenblikkelijk moet regelen voor de continuïteit van uw business? Heeft u alle noodzakelijke informatie, mensen en middelen paraat? Informatie zoals klant- en leveranciersgegevens of een melding voor op de homepage van uw website? Wij leven in risicovolle tijden. Iedere seconde gebeurt er ergens iets in de wereld. Maar ook dichterbij huis, of zelfs om de hoek. Ondernemingen met een crisisplan en een bedrijfscontinuïteitsplan zijn veerkrachtig. Zij hebben hun business geanalyseerd en weten precies welke zaken essentieel zijn. De potentiële bedreigingen zijn in kaart gebracht en er is bepaald wat de uitwerking op de operationele bedrijfsvoering is. Deze bedrijven hebben
crisisplan getraind en in de praktijk geoefend met een zo realistisch mogelijk scenario. Het team heeft zich voorbereid op iets wat misschien nooit zal gebeuren. Maar áls het dan gebeurt… Dat is de sterke gewoonte van succesvolle ondernemingen. Zij wachten niet af welke risico’s zij lopen. Zij zijn voorbereid.
de sterke gewoonte om in kaart te brengen – en te houden – welke risico’s het primaire bedrijfsproces onmiddellijk zullen onderbreken en welke niet. Of misschien beter gezegd, niet meteen. De praktijk wijst namelijk vaak genoeg uit dat er ook nog zoiets bestaat als de ramp na de ramp: claims, een terugtredende raad van bestuur of imagoschade. Plannen als broer en zus met elkaar verbonden De uitvoering van bedrijfshulpverlening, crisismanagement en bedrijfscontinuïteit vereist plannen die als broer en zus met elkaar verbonden zijn. Zaken dubbel doen is niet alleen uitermate onpraktisch en inefficiënt. U loopt daarnaast de kans, zo niet het gevaar, dat het ineffectief is. De plannen moeten naadloos op elkaar aansluiten en geen ruimte laten voor onduidelijkheid. Weet en kent iedereen
ogenblikkelijk zijn rol en wordt direct en adequaat gehandeld? Elke seconde tikt de klok tenslotte onverbiddelijk verder. Tijd is, zeker in het eerste uur – het zogenoemde Golden Hour – uw vijand óf uw vriend. Sterke gewoonte van succesvolle ondernemingen Het crisismanagementteam heeft het
Meer informatie Algolweg 7 3821 BG Amersfoort 033 – 707 4797 www.crisicom.nl www.twitter.com/crisicom www.linkedin.com/company/crisicom
ADVERTORIAL
Ondernemer, wees voorbereid op een calamiteit!
D
at overkomt mij niet. Dat denkt bijna iedereen na het aanschouwen van een verwoestende brand op TV, op internet of in de krant. Dat dachten ook de eigenaren van bedrijfspanden die in het eerste halfjaar van 2015 in vlammen opgingen. Het ging volgens de cijfers van het NIVRE om 72 branden met een schade hoger dan 1 miljoen euro. Daarbij gingen in vlammen op kantoorpanden, een ziekenhuis, vleesfabriek, politiebureau, hotel, een schip en opslagruimten. MKB bedrijven nog onvoldoende voorbereid op calamiteiten Dat zou iedere ondernemer wakker moeten schudden. Het kan namelijk iedereen overkomen. Ligt de oorzaak niet in je eigen pand, wat gebeurt er in het pand van de buren? Of welke risico’s brengt de omgeving met zich mee?
Breng het in kaart. Ken de risico’s en handel ernaar. Want, zo stelt Karel Jasperse van het bedrijf COIN vast, als je onderneming plat ligt, als er niet meer gewerkt kan worden, is de schade vele, vele malen groter.
Binnen twee uur kunnen honderden mensen gewoon doorgaan met hun werk COIN staat voor een aantal zogenoemde uitwijklokaties in Nederland en België. Kantoren waar 24/7 management en werknemers in geval van een calamiteit een plek hebben om de continuïteit van hun onderneming te waarborgen. Alles wat nodig is om een kantoor te runnen is aanwezig. En door vooraf de IT omgeving en telefonie in te regelen beschikt de ondernemer over de eigen data en applicaties en blijft men telefonisch bereikbaar op de eigen telefoonnummers.
calamiteit. Jasperse: ‘Het verlies per uur kan gigantisch zijn en dat hoeft niet. Voorkom financiële én imagoschade en weet je verzekerd van continuïteit. Dat betaalt zich altijd terug.’
Altijd maar een beperkt aantal mensen nodig om de bedrijfskritische processen voort te zetten Hoe werkt COIN? Heel simpel. Word klant en sluit een abonnement af. Daarmee is het bedrijf verzekerd van het voortzetten van de activiteiten in geval van een
Meer informatie Wilt u ook in business blijven? Neem contact op:
[email protected] 088 2646000 www.coinbv.nl
PULSE MEDIA MEDIA GROUP GROUP PULSE
|
BEDRIJFSCONTINUÏTEIT MANAGEMENT
BEDRIJFSCONTINUÏTEIT VERZEKERD MVO
NEN-ISO 22301: De norm voor een solide BCMS
I
Als een organisatie helder heeft welke activiteiten essentieel zijn voor de doelstellingen, kan het zich aanpassen aan onverwachte gebeurtenissen met betrekking tot het leveren van haar producten en/of diensten. Het versterken van het weerstandsvermogen en de veerkracht van de organisatie is dan ook van groot belaing voor het voortbestaan van een organisatie, en de kosten van deze inspanning moeten worden gezien als ‘cost of doing business’, legt Kogenhop uit.
Van onze redactie Auteur: Marianne Rijke
Managementsysteem. Allereerst moet een organisatie de essentiële bedrijfsprocessen en mogelijke risico’s identificeren. Daarna dient men, aan de hand van deze analyses, een continuïteitsstrategie te bepalen. De volgende stap bestaat uit het vaststellen van procedures voor het omgaan met ontwrichtende gebeurtenissen en het continueren van de bedrijfsactiviteiten. De laatste stap bestaat uit het ontwikkelen van procedures om vanuit de noodvoorzieningen weer terug te keren naar de normale bedrijfsvoering.
edere organisatie kan geconfronteerd worden met incidenten die de bedrijfscontinuïteit in gevaar brengen. Deze incidenten kunnen niet alleen directe schade veroorzaken doordat de bedrijfsvoering stil komt te liggen, bijvoorbeeld wegens brand, uitval van ICT of cyberhacks, maar ook vertrouwensschade, waardoor klanten mogelijk een andere leverancier gaan zoeken. Om deze reden moeten organisaties zich bewust zijn van de gevolgen van eventuele onverwachte gebeurtenissen, en doen zij er verstandig aan te werken aan Business Continuity Management (BCM). Gestelde doelen kunnen bereiken “BCM moet worden gezien vanuit het perspectief van ‘wat is er minimaal nodig in de organisatie om de gestelde doelstellingen te halen’ en niet vanuit angst of vermeende risico’s”, aldus Gert Kogenhop, voorzitter van de BCMnormcommissie bij NEN (Nederlands Normalisatie-instituut). NEN beheert zowel Nederlandse als internationale normen, waaronder NEN-ISO 22301 Business Continuity Management Systems (BCMS).
13
Als een organisatie deze kernelementen van BCM in het algehele (risico) managementsysteem integreert, is het goed voorbereid om essentiële bedrijfsprocessen te kunnen voortzetten als zich incidenten voordoen.
Het belang van BCM NEN ziet een groeiend besef onder organisaties dat het belangrijk is zo goed mogelijk voorbereid te zijn op het onverwachte. “Denk hierbij aan afhankelijkheid. Afhankelijkheid van ICT, een enkele persoon, een leverancier of zakenpartner”, zegt Kogenhop. Als bij een organisatie bijvoorbeeld de ICT zou wegvallen, kan dit een gevaar vormen voor de bedrijfscontinuïteit. Ook de mondialisering en digitalisering van het bedrijfsleven, waarbij landsgrenzen en digitale grenzen tussen bedrijven vervagen, kunnen continuïteitsrisico’s met zich meebrengen, evenals de drang van organisaties om hun bedrijfsprocessen steeds sneller en goedkoper te maken. Volgens Kogenhop creëert men hierbij vaak ongewild continuïteitsrisico’s. De impact van een incident wordt steeds groter, zeker wanneer men te veel flexibiliteit en alternatieven om kostenbesparende of efficiency redenen weghaalt. De meeste organisaties kennen de risico’s wel, maar het is belangrijk dat zij weten hoe te handelen wanneer een dergelijke situatie zich voordoet, zodat
zij niet verrast worden en te allen tijde de controle wordt behouden. Hij merkt op dat BCM binnen de ICT-functie over het algemeen redelijk goed geregeld is, maar dat dit in de rest van de
organisatie vaak minder is. Omdat ICT een steeds dominantere rol speelt binnen organisaties, inmiddels binnen elke functie en bij elk bedrijfsproces, moet verder worden gekeken dan alleen het ICT-continuïteitsplan. Een internationale norm Om organisaties een handvat te geven om zo snel mogelijk te herstellen van een incident dat hun bedrijfscontinuïteit in gevaar kan brengen, heeft NEN de internationale norm NENISO 22301 gepubliceerd. Hierin is stapsgewijs opgenomen hoe te komen tot een solide Business Continuity
Voordelen van de norm Een norm zoals de NEN-ISO 22301 geeft organisaties een gemeenschappelijk kader om mee te werken, licht Kogenhop toe. De normen die door ISO, de internationale organisatie die normen publiceert, worden uitgegeven zijn erkend in 163 landen en worden gezamenlijk opgesteld door experts binnen het betreffende vakgebied vanuit de hele wereld. Een certificering levert voor belanghebbenden het bewijs dat de betreffende organisatie haar BCM conform de norm heeft ingevuld en “middels de Plan-Do-Check-Act dit oefent, beheert, onderhoudt en continu verbetert”, concludeert Kogenhop. “Iedereen in de organisatie is terecht gefocust op de overeengekomen doelstellingen en ‘business as usual’. Maar heeft men ook een ‘business as NOT usual’ organisatie?” Volgens hem levert een gedegen BCMS veel waarde op voor de organisatie in kwestie. Door het vergroten van het weerstandsvermogen en de veerkracht, zal de organisatie in staat zijn sneller te handelen, waardoor de schade beperkt kan blijven. Het besteden van aandacht aan BCM is volgens hem dan ook een ‘no brainer’.
Business Continuity Management Software
Eventueel op maat aangepast aan uw specifieke wensen
Verbetert consistentie in de aanpak binnen uw organisatie
Beperkt datamanagement middels interfaces met bestaande oplossingen
Minimaliseert centrale ondersteuning van het BCMS beheer
Dashboardrapportage aangaande beleid/standaard compliance status, workflow beheer
Zorgt voor actuele contactgegevens in alle plannen
en de managementinformatie met betrekking tot het gehele BCM proces
Meertalig, inclusief volledige aan te passen menu’s, invoervelden en organisatiegegevens
Geeft verantwoordelijken de mogelijkheid eigen BIA’s, plannen en oefeningen te beheren
Wereldwijd vele malen bekroond tel.: +31 (0)229 264 797
e-mail:
[email protected]
clearview-continuity.nl
14
PULSE MEDIA GROUP
CYBERSECURITY
BEDRIJFSCONTINUÏTEIT VERZEKERD
INTERVIEW met Yasin Chalabi
Data is het nieuwe goud waar het is opgeslagen en waarvoor je het nodig hebt. Maak iemand verantwoordelijk voor persoonsgegevens. Zorg dat je systeemupdates doet en data goed versleutelt. Neem fysieke voorzorgsmaatregelen: weet wie het bedrijf in- en uitloopt en zorg dat je overbodige data echt vernietigt. Ga oefenen: elk bedrijf moet voorbereid zijn op een datalek en daarvoor een eerste hulpkist hebben. Naast risicomanagement is je verzekeren erg belangrijk.”
Voor bedrijven die risico’s op cyberincidenten willen dekken, bieden verzekeraars polissen. Yasin Chalabi van schadeverzekeraar Hiscox: “Sinds 1 januari 2016 hebben we meer verzekeringen voor cyber en data risks afgesloten dan in de vier jaar ervoor.” Welke risico’s zijn er voor bedrijven? “Als je data hebt, heb je altijd risico’s. Er zijn altijd mensen die data willen stelen. Bedrijven worden steeds vaker afgeperst door ransomware. Een ander risico zijn phishingmails, bijvoorbeeld een fictieve mail van een senior manager aan zijn personeel. Menselijke nalatigheid staat in de top drie van risico’s. Denk aan iemand die thuis werkt en zijn virusscanner uitzet om iets te downloaden. Mensen in de buitendienst met portable devices zijn een risico, want ze kunnen die verliezen. Die impact is net zo groot als een hack. Veel
Yasin Chalabi
mensen beseffen het niet, maar data is het nieuwe goud.” Hoe kunnen bedrijven die risico’s beperken? “Maak iedereen bewust van digitale risico’s. Identificeer welke data je hebt,
Wat is de rol van een verzekeraar? “We dekken alle genoemde risico’s en bieden dienstverlening bij calamiteiten. We sturen een digitaal forensisch onderzoeksbureau die de reikwijdte van het gegevensverlies inventariseert. Een serieus datalek moet je volgens de meldplicht datalekken die sinds 1 januari 2016 van kracht is binnen
72 uur melden. Daarvoor bieden wij juridische dienstverlening . Een pr-bureau beperkt reputatieschade en callcenters lichten gedupeerden in. Met onze gratis preventieve quickscan kunnen we risico’s met 70 procent verkleinen. Ook bieden we checks op bewerkersovereenkomsten voor afnemers en leveranciers met daarin rechten en plichten. Sinds 1 januari zie je de bewustwording bij managers toenemen. We sloten meer polissen voor cyber en data risks dan in de vier jaar ervoor.”
Meer informatie Hiscox Nederland Arent Janszoon Ernststraat 595B 1082 LD Amsterdam 020 517 0700 www.hiscox.nl
ADVERTORIAL
Modus Operandi van cybercriminelen evolueren snel en wetgeving is aangescherpt
Robert van der Vossen en Wouter Parent
D
e digitale wereld brengt organisaties een groot goed op het gebied van efficiency en slagvaardigheid. Het nieuwe werken met BYOD (bring your own device) is standaard en we kunnen niet meer zonder de “Internet Of Things”. Ook de criminele wereld heeft ontdekt dat er in deze virtuele maatschappij veel geld te verdienen valt. Methoden van criminele hackers evolueren sneller dan security.
Een vals gevoel van veiligheid. “Dat overkomt ons niet” is een veelgehoorde reactie op de vraag of een organisatie voldoende beschermd is tegen cybercriminaliteit. Bestuurders en directieleden van organisaties zijn vaak van mening dat de ICT-beveiliging afdoende is. Er is immers flink geïnvesteerd in technische middelen. Echter, de virtuele risico’s worden door ondernemers nog zwaar onderschat en er is veelal geen duidelijk beeld van de gevolgschade. Meldplicht Datalekken Een extra dimensie voor de bewustwording van de financiële risico’s van een cyberincident is de nieuwe Meldplicht Datalekken als onderdeel van de aangescherpte WBP (Wet Bescherming Persoonsgegevens). Organisaties (bedrijven en overheden) moeten op straffe van sancties en boetes onverwijld melding
doen van datalekken van privacy gevoelige gegevens. Boetes kunnen oplopen tot een maximum van € 820.000. Contracten en Privacy Management Het is dus zaak dat de onderneming in kaart brengt hoe binnen de organisatie privacy gevoelige data kunnen lekken en via welke externe bewerkers (ICT bedrijven / hosting / cloud / leveranciers) data kunnen lekken. De organisatie zal nieuwe afspraken voor het signaleren en informeren van datalekken moeten afspreken en hiervoor bestaande contracten moeten open breken. Naast kosten van ICT zal de ondernemer vooral rekening moeten gaan houden met verweerkosten, crisismanagement en imago schade. Cyber Risico Analyse CYCO adviseert de verantwoordelijken om het cyberrisico te benaderen als een strategisch
vraagstuk: Hoe kunnen we dit risico beheersbaar maken voor de onderneming? Wat zijn onze kritische bedrijfsprocessen? Wat staat ons te doen bij een cyberincident? Hoe groot is mijn reputatieschade na een publicatie in de krant over een hack van mijn onderneming? Hebben mijn stakeholders nog het vertrouwen dat hun gegevens veilig zijn bij mijn organisatie? Wat is onze worst case scenario?
Meer informatie De auteurs Wouter Parent en Robert van der Vossen zijn beiden werkzaam bij CYCO Cybercrime Cover. CYCO helpt organisaties het cyberrisico inzichtelijk en beheersbaar te maken. www.cyco.nu
ADVERTORIAL
Cybersecurity, Cloud en WBP is Bedrijf Continuïteit dan Verzekerd?
W
at betekent dat eigenlijk die Wet Bescherming Persoonsgegevens? Heb ik daar last van als ik al mijn IT uitbesteed heb? Moet ik iets doen? Ons bedrijf heeft alles in de cloud bij een gerenommeerde partij, dat zal wel goed komen, toch? Dit zijn slechts een kleine set van vragen die wij de afgelopen maanden en vandaag de dag nog steeds krijgen van prospects en klanten, zegt John van Westeneng, partner van bedrijf Traxion gespecialiseerd op gebied van Informatiebeveiliging. De Wet Bescherming Persoonsgegevens is eigenlijk een poging van de overheid om de securitymaatregelen naar een hoger niveau te brengen. Naast het feit dat privacygevoelige data en hoe je daar mee om moet gaan worden benoemd, wordt ook vermeld wat te doen als je informatie lekken/ gaten in je IT-security constateert. Dat zou
het allemaal een stuk eenvoudiger en vooral duidelijker moeten maken, stelt Eric Ijpelaar Manager Operations Traxion Services. Echter dat is niet het geval. Een voorbeeld, moet je een geconstateerd lek melden als je aannemelijk kunt maken dat er geen gebruik/misbruik is gemaakt van dat lek/gat? Nee dat hoeft niet. Daarnaast geeft Eric aan dat de WBP verwacht dat je maatregelen hebt getroffen die vandaag de dag gebruikelijk zijn. Welke maatregelen dat zijn staat niet in de WBP. Daarvoor heb je specialisten nodig die op basis van beleidsdocumenten en cases de juiste maatregelen kunnen definiëren. Als Traxion Services moeten wij een bewerkersovereenkomst hebben, die onze klant samen met ons opstelt, voor de services die wij aan klanten leveren. Dat is een rechtstreeks gevolg van de WBP, aldus Eric. En, stelt John, moet op termijn (2018) een Functionaris voor
de gegevensbescherming (FG) worden aangesteld bij bedrijven groter dan 250 medewerkers die de toepassing en naleving van de WBP binnen je bedrijf in de gaten houdt. Kunnen grote bedrijven en het mkb dit nu allemaal wel uitvoeren? Uiteraard wel, echter vraagt dat kennis en kunde. Een alternatief is om deze uit te besteden. Traxion levert FG/CISO als een Service aan bedrijven. Waarbij Traxion uw bedrijf ontzorgt door een groot deel van de bovengenoemde activiteiten uit te voeren die nodig zijn om veilig te opereren binnen de wettelijke kaders, zodat u en uw medewerkers zich bezig kunnen houden met daar waar u goed in bent: het zaken doen in uw branche. Traxion is een informatiebeveiliging.
specialist in Traxion haar
filosofie is dat medewerkers en/of klanten (bedrijfs-)informatie moeten kunnen gebruiken, waar dan ook, met welk device dan ook, waarbij de informatie veilig is en blijft. De maatregelen die een organisatie nodig heeft om dat te faciliteren zijn Traxion haar core business. Dit uit zich in een portfolio waarin gebruikers, informatie en risicobeheersing centraal staan. Traxion is een onafhankelijke plan-built-run organisatie ontstaan om de meest veeleisende organisaties te ondersteunen. Dit doen ze sinds 2000 met een zeer enthousiast en vaardig team van specialisten.
Meer informatie TRAXION +31 418 653883
[email protected] www.traxion.com
PULSE MEDIA MEDIA GROUP GROUP PULSE
|
CYBERSECURITY
BEDRIJFSCONTINUÏTEIT VERZEKERD MVO
Datalekken: juridische en praktische gevolgen
H
et zakelijk leven steunt in toenemende mate op data-gedreven technologieën. Vergaderingen in Shanghai worden bijgewoond via Skype en vergaderstukken worden via de cloud gedeeld. Het toenemende gebruik van ICT in het bedrijfsleven kent vele voordelen, maar ook bedreigingen. Met alle juridische en financiële gevolgen van dien. Datadreigingen Om bovenstaande activiteiten mogelijk te maken, wordt veel data opgeslagen, en deze kan, mits niet goed afgeschermd en beveiligd, ook worden ingezien door mensen voor wie de data niet bedoeld is. Of erger: data als wachtwoorden, creditcardgegevens en kritische bedrijfsinformatie kan worden gestolen en misbruikt. Volgens Lokke Moerel, hoogleraar Global ICT Law aan de Universiteit Tilburg, en lid van de Cyber Security Raad (CSR), is er een trend waar te nemen bij het soort cyberaanvallen. In de beginjaren waren voornamelijk banken het doelwit, en gingen cybercriminelen voor de ‘quick buck’: het stelen van bijvoorbeeld creditcardgegevens, waarmee snel geld te verdienen is. Dit gebeurt nog steeds wel, legt Moerel uit, “maar cyberaanvallen worden met de jaren geavanceerder en draaien steeds vaker om het stelen van intellectueel eigendom van bedrijven, zoals technische innovaties en nieuwe producten (met handleiding en al), en zelfs hele fabrieksontwerpen.” Deze aanvallen worden vaak uitgevoerd door criminele organisaties die ‘state-
sponsored’ zijn vanuit landen als China. De overheid is ook steeds vaker slachtoffer van ‘cyberspionage’. Een voorbeeld hiervan is de infiltratie in Amerikaanse overheidscomputers door Chinese hackers in 2015, waarbij dossiers van 21,5 miljoen overheidswerknemers werden gestolen. Deze infiltratie werd mogelijk doordat de hackers eerst een verzekeringsmaatschappij hadden gehackt en op basis van de verkregen gegevens geloofwaardige phishingmails konden versturen aan de ambtenaren. “Dit noemen we ‘stepping stone’hacks”, aldus Moerel. Daarnaast ziet zij steeds vaker dat computers van advocatenkantoren worden gehackt, om koersgevoelige informatie te verkrijgen, die verkocht kan worden of waarmee op de beurs wordt gespeculeerd. Databescherming Omdat het leven steeds meer doordrongen is van technologie, kan elk bedrijf getroffen worden door een cyberaanval. Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens (AP), geeft aan dat ook bedrijven waar de veiligheid ‘wel op orde is’ getroffen
kunnen worden door een datalek. In de komende twee jaar, zo vertelt hij, zou 80 procent van alle organisaties hiermee te maken kunnen krijgen. De bescherming tegen dergelijke bedreigingen is dus steeds belangrijker. Hierbij speelt samenwerking een grote rol. Door het grensoverschrijdende karakter van cybermisdaad moet de cyberveiligheid op Europees of zelfs mondiaal niveau bewerkstelligd worden. Volgens staatssecretaris van Veiligheid en Justitie Klaas Dijkhoff kan het Nederlandse digitale leven dan ook alleen beschermd worden als de EU-lidstaten samenwerken. Als onderdeel van deze samenwerking is het de bedoeling dat in 2018 de nieuwe Europese Verordening Gegevensbescherming van kracht wordt. Deze wet dwingt organisaties bewust om te gaan met persoonsgegevens en verplicht hen datalekken te melden. Organisaties die deze wet overtreden kunnen boetes krijgen tot 10 miljoen euro per overtreding of maximaal 2 procent van hun wereldwijde omzet. Wet bescherming persoonsgegevens In afwachting van deze Verordening heeft Nederland al per 1 januari 2016 een meldplicht datalekken ingevoerd. Hierdoor zijn organisaties verplicht direct melding te doen bij de AP wanneer sprake is van ernstige datalekken. Doen organisaties dit niet, dan riskeren zij een boete van maximaal 820 duizend euro of 10 procent van hun omzet. Het doel van deze regelgeving is het stimuleren van organisaties om datalekken te voorkomen en al vanaf de ontwerpfase van hun diensten en producten na te denken over hun privacyinstellingen en databescherming, aldus Tomesen. Organisaties moeten niet alleen datalekken tegengaan, ze moeten ook open zijn over ontstane lekken, zodat de consequenties zo klein mogelijk blijven. Moerel is van mening dat, gezien de korte termijn waarop een lek bij de AP moet worden gemeld, het aan te bevelen is dat werknemers vertrouwelijk het verlies van informatie kunnen melden. Niet iedereen durft aan zijn baas te melden dat een usb-stick met gevoelige informatie verloren is gegaan. Voor een bedrijf is het belangrijker te weten wat er weg is dan dat er maatregelen tegen de betreffende werknemer worden getroffen. In de eerste drie maanden na de inwerkingtreding van de regelgeving zijn al meer dan 1000 meldingen van datalekken gedaan, vertelt Tomesen. “Dit lijkt misschien veel, maar dat is het niet, als je bedenkt dat meer dan 130.000 organisaties in Nederland verplicht zijn dergelijke lekken te melden.” Zorgplicht De verplichtingen onder de Wet bescherming persoonsgegevens gelden niet voor leveranciers van hard- en software waarmee persoonsgegevens worden verwerkt. Kijkend naar de verantwoordelijkheid voor de preventie van datalekken en bescherming van data, zegt Moerel dat de bedrijven die software of hardware aanbieden ook een zorgplicht hebben. Zij zijn verantwoordelijk voor het aanbieden van veilige diensten en producten, en als deze niet (langer) veilig blijken te zijn dient dit gemeld te worden bij de afnemer, zodat deze zich hiertegen kan bewapenen. Daarnaast moet de afnemer zelf ook een steentje bijdragen,
15
Van onze redactie Auteur: Marianne Rijke
door bijvoorbeeld nieuwe patches te installeren die veiligheidslekken in software repareren, een adequaat dataprivacybeleid te implementeren en data te versleutelen, laat Tomesen weten. De VS als voorbeeld In de VS hebben de meeste staten al een meldplicht datalekken. Gevolg hiervan is dat de databeveiliging van Amerikaanse bedrijven vaak beter op orde is dan in Europa. De reputatieschade en de ‘class actions’ die op een melding volgen hebben zo’n impact dat bedrijven hun beveiliging verbeteren. Moerel verwacht dat de nieuwe meldplichten een vergelijkbaar effect zullen hebben op Europese bedrijven. “We moeten er wel voor waken dat de drempel om te melden niet te laag wordt. De AP heeft sinds januari al zoveel meldingen gekregen dat die niet allemaal kunnen worden opgevolgd.” Daarnaast geeft ze aan dat als burgers te vaak meldingen krijgen, ze niet meer reageren wanneer er een keer echt iets ernstigs aan de hand is. Dat noemen ze in de VS het gevaar van ‘over-notificatie’. Volgens Moerel zou het een goede zaak zijn als er in Nederland ook een centraal meldpunt komt waar bedrijven hun lekken kunnen melden en informatie omtrent cybercriminelen kunnen delen zonder dat er repercussies aan verbonden zijn, net zoals in de VS, waar bedrijven die lekken via een speciaal portal melden niet worden vervolgd. Met deze informatie kunnen andere organisaties worden gewaarschuwd, en kunnen trends worden gesignaleerd. In Nederland wil de overheid ook met organisaties dit soort informatie uitwisselen en samenwerken, maar dat kan om allerlei redenen nog niet. Een subcommissie van de CSR kijkt of een infrastructuur gecreëerd kan worden waarmee dit wel mogelijk wordt.
16
PULSE MEDIA GROUP
CYBERSECURITY
BEDRIJFSCONTINUÏTEIT VERZEKERD
ADVERTORIAL
Risicomanagement gaat over kennis delen
“
Ons startpunt was de economische crisis die in 2008 in volle hevigheid uitbarstte”, vertelt Edwin Beumer, één van de oprichters van RISKID. “Als deze crisis ons één ding geleerd heeft, dan is het dat onze standaard-risicomodellen en -maatregelen het ontstaan van deze crisis niet hebben kunnen voorkomen. In deze modellen wordt de kennis en ervaring die in organisaties aanwezig is niet benut. In tegenstelling tot deze modellen, is de filosofie van RISKID dat risicomanagement gezien moet worden als een gezamenlijk proces.“ Het is een gegeven dat continuïteitsproblemen in een organisatie leiden tot extra kosten en een verslechterende concurrentiepositie ten opzichte van andere organisaties. Om deze problemen op te lossen, moeten de verschillende partijen binnen een organisatie hun kennis delen, aldus Beumer. “Op deze
manier wordt het risicobewustzijn van de organisatie vergroot, hetgeen cruciaal is voor effectief risicomanagement. Uit onderzoek blijkt namelijk dat de mens een hoofdrol speelt bij het effectief omgaan met risico’s, en dat menselijk falen in meer dan 80 procent van de gevallen de oorzaak is van het optreden van risico’s. Preventie is een onmisbaar onderdeel om de continuïteit van een organisatie te waarborgen.” Sociale technologie zorgt voor betrokkenheid “Uit de vele gesprekken die RISKID met bedrijven heeft gevoerd, blijkt dat de software die voor risicomanagement beschikbaar is, als gebruiksonvriendelijk en complex wordt ervaren en daardoor weinig wordt gebruikt”, zegt Beumer. “Er is geen interactie met de gebruikers en de software wordt als arbeidsintensief ervaren.”
In nauwe samenwerking met wetenschappelijke instellingen en experts uit het risicomanagementdomein heeft RISKID tooling ontwikkeld, die organisaties optimaal ondersteunt bij het identificeren, analyseren en beoordelen van risico’s. De kracht en uniekheid van de software van RISKID zit hem in het collaboratieve en gebruiksvriendelijke karakter. Door alle stakeholders te betrekken, wordt risicomanagement interactiever en effectiever en wordt er meer draagvlak binnen de organisatie gecreëerd. Daar komt bij dat uit wetenschappelijk onderzoek gebleken is dat het gebruik van de RISKID tool een reductie in arbeidstijd van 50 procent en een reductie in projecttijd van 60 procent - 90 procent oplevert. Een brede klantengroep in de publieke en private sector maakt al gebruik van
Edwin Beumer
RISKID. Voorbeelden zijn Achmea, Dynniq, de gemeenten Rotterdam en Den Haag, het Erasmus MC, Royal HaskoningDHV, het Ministerie van Financiën, de Provincie Zuid-Holland, Risk Values en de NS.
Meer informatie
[email protected] www.riskid.nl www.products.riskid.nl
ADVERTORIAL
Cybercrime as a business? Cybercrime is crime. Crime in een eigentijdse verpakking, maar uitgevoerd door dezelfde organisaties en veel nieuwkomers. Software en social media worden op grotere schaal ingezet voor afpersing. Deze zogenaamde cryptolockers en andere malware vormen zijn steeds vaker uniek, gericht en moeilijk te herkennen. Het gevolg: kostbaar. Kortom: cybercrime is ‘serious business’ en leidt tot ‘serious trouble’. Naast directe financiële schade melden Nederlandse organisaties vaker reputatieschade en verlies van intellectueel eigendom als gevolg van cybercrime. Om maar niet te spreken van mogelijke boetes vanuit nieuwe wetgeving. Wat zeggen klanten en leveranciers van uw melding in het kader van Wet meldplicht datalekken? Nationaal en internationaal? Smarter IT-security
is ‘serious’ en vereist een
maar een symbiose tussen beleid, proces, uitvoering en monitoring.
‘smart’ aanpak. Een aanpak die toetsbaar is en een totaal informatiebeveiligingsbeleid mogelijk maakt. Hiervoor is het ON2IT Security Framework (ONSF) ontwikkeld. Een enterprise architectuur waarin preventie - door slimmer beleid en automatisering - met cultuur en compliance samen gaat. Het ONSF geeft een totaalbeeld van informatiebeveiliging op machines, endpoints, in het datacenter of in de cloud. Informatiebeveiliging is niet louter een technische oplossing,
ONSF en (inter-)nationale wetgeving Het informatiebeveiligingsbeleid opstellen aan de hand van het ONSF biedt een bijkomend – maar essentieel – voordeel: toetsing aan de relevante wet- en regelgevingen. Het ONSF houdt rekening met branchegerelateerde en (inter-)nationale richtlijnen als de Wet meldplicht datalekken en de in voorbereiding zijnde Europese General Data Protection Regulation (GPDR). Compliance aan deze richtlijnen voorkomt boetes die fors kunnen oplopen en menig organisatie catastrofaal kunnen worden – zeker in combinatie met een cybercrime aanval. Roundtable Wet meldplicht datalekken Wilt u meer weten over compliance in relatie tot IT-security? Kom dan naar
de ON2IT Roundtable Wet meldplicht datalekken op 12 mei a.s. in The Hague Security Delta. Meld u aan via 088-2266200 of
[email protected]. ON2IT – cybersecurity specialist sinds 2005 – biedt IT-security oplossingen die aansluiten op IT-infrastructuur, ITgroei en IT-wensen van organisaties. In de toenemende complexiteit van ‘The Internet of Things’ deelt ON2IT haar kennis en ervaring om de continuïteit van bedrijfsprocessen en compliance aan (inter-)nationale richtlijnen te waarborgen.
Meer informatie ON2IT Regterweistraat 7 4181 CE Waardenburg
[email protected] www.on2it.net
ADVERTORIAL
Informatiebeveiliging: ‘De mens in de hoofdrol’
D
igitale veiligheid en informatiebeveiliging zijn belangrijker dan ooit. Organisaties liggen onder vuur door cybercriminelen die geld proberen te verdienen. Momenteel gaat er wereldwijd meer geld om in cybercriminaliteit dan in drugshandel. Elke organisatie heeft gevoelige data De meest gebruikte aanvalsmethode van cybercriminelen is gebaseerd op afpersing. Bestanden binnen het netwerk raken versleuteld en worden weer beschikbaar gesteld na betaling van losgeld. Schade is er altijd, of u nu een recente back-up heeft of niet. Doordat tussenliggende werkzaamheden en gegevens verloren gaan is er vaak sprake van zowel financiële als continuïteitsschade. Persoonsgegevens spelen binnen elke organisatie een belangrijke rol. De nieuwe Meldplicht Datalekken dwingt organisaties om aantoonbaar veilig om te gaan met
Informatiebeveiliging: Taak van bestuur Informatieveiligheid is niet uitsluitend een taak van de IT-afdeling maar vergt een multidisciplinaire aanpak van: Beleid & Organisatie, Techniek en Mens. Het bestuur van een organisatie is eindverantwoordelijk en (hoofdelijk) aansprakelijk in geval een datalek zich voordoet ten gevolge van (grove) nalatigheid. Het bestuur zou hierom meer betrokken moeten zijn bij informatiebeveiliging.
veroorzaakt door onwetendheid en onjuist handelen door eigen medewerkers. Mensen klikken op links in Phishing mails, verliezen USB-drives en delen informatie met ongeautoriseerde personen. Veel medewerkers zijn zich niet bewust van hun individuele rol binnen de organisatie. Vaak hoor je: ‘Informatiebeveiliging wordt toch door de IT-afdeling geregeld?’ Trainingen, Workshops, E-learning en Serious Games. NextTech leert medewerkers hoe zij veilig kunnen werken en de kans op incidenten kunnen minimaliseren. Geen technische verhalen, maar begrijpbare taal.
Security Awareness Security Awareness is de mate waarin medewerkers betrokken (verantwoordelijk) en bekwaam zijn om informatieveiligheidsincidenten te herkennen en te voorkomen. In de praktijk wordt 70% van alle informatieveiligheidsincidenten
Special: Meldplicht Datalekken 2.0 Er is reeds veel gesproken en geschreven over de nieuwe Meldplicht Datalekken die 1 januari van kracht is gegaan. De risico’s en consequenties zijn bekend, maar wat kunt u nu concreet zelf doen om een incident te voorkomen? Nexttech.nl/event
persoonsgegevens en stelt consequenties (boetes) bij datalekken.
Dennie Spreeuwenberg
Meer informatie NextTech Security 088 01 816 00 www.nexttech.nl
[email protected]
PULSE PULSE MEDIA MEDIA GROUP GROUP
|
CYBERSECURITY
BEDRIJFSCONTINUÏTEIT VERZEKERD MVO
Productiviteitsverlies door cybercrime
C
ybercrime en digitale spionage zijn fenomenen die de komende jaren met de steeds grotere nadruk op technologie alleen maar zullen toenemen. In de Cyber Security Raad (CSR), een strategisch adviesorgaan van het Kabinet, trekken vertegenwoordigers vanuit overheid, bedrijfsleven en wetenschap samen op om de risico’s van nieuwe technologische ontwikkelingen het hoofd te bieden en kansen te benutten. Wat zijn de strategieën tegen en de kosten van cybersecurity? Half oktober bracht het Nationaal Cyber Security Centrum (NCSC) het Cybersecuritybeeld Nederland (CSBN) uit. Weinig verrassend blijkt dat cybersecurity een steeds dominantere rol krijgt in de maatschappij.
persoonsgegevens en verlies van productiviteit. Het is geen ICT-zaak alleen; het raakt het hart van het bedrijf. Daarover moeten compliance-afspraken worden maken met medewerkers én met leveranciers in de keten, aldus Van der Burg.
Bedreigingen komen uit alle hoeken en gaten. CSR-lid en procureur-generaal van het Openbaar Ministerie (OM) Gerrit van der Burg verklaart de toename van cybercrime uit een combinatie van gemakkelijke toegankelijkheid van gegevens en het gebruik van steeds ingewikkeldere versleuteling door criminelen (encryptie). Dit laatste belemmert de opsporing. Iedereen kan tegenwoordig op het ‘darkweb’ (verborgen internet) gemakkelijk en goedkoop een pakket ransomware kopen dat gegarandeerd netwerken verstoort. Met malware blokkeren criminelen bestanden en vragen vervolgens losgeld om het ongedaan te maken. Die technieken worden ingewikkelder en moeilijker te bestrijden en de omvang van criminele gebruikers groeit.
Barrièremodel Politie en het OM werken samen in het internationaal bekende Team High Tech Crime. Dit team onderzoekt ingewikkelde zaken als grote hacks in computernetwerken en -infrastructuur. Dat vraagt om meer capaciteit voor de opsporing, maar strafrecht is maar een van de drukmiddelen. Van der Burg: “Met gezamenlijke maatregelen moeten we cybercrime proberen te voorkomen en de impact van eventuele incidenten zien te verkleinen.” Het OM werkt vanuit de gedachte van het ‘barrièremodel’, een strategie om met verschillende partijen zoveel mogelijk barrières op te werpen en het verdienmodel van criminelen te doorbreken. Dat gebeurt op verschillende manieren, zoals door het goed in de gaten houden van het ‘darkweb’, het waarschuwen van mensen voor phisingmails en het aangaan van een dialoog met producenten van hardware en software om applicaties veiliger te krijgen.
Kroonjuwelen Hoe kunnen bedrijven zich nu het beste wapenen tegen cybercrime? Een paar factoren zijn van belang. Allereerst moeten bedrijven en vooral bestuurders van bedrijven zich realiseren dat cybersecurity meer is dan een ICT-vraagstuk. “Het gaat om de bescherming van jouw kroonjuwelen: het bestaansrecht van jouw bedrijf”, vertelt Van der Burg. De stand van zaken in cybersecurity zou daarom elke week op bestuursniveau moeten worden besproken. Belangrijk is wat het bedrijf aan preventie doet om een cyberaanval tijdig te kunnen doorgronden en bestrijden, hoe het staat met de continuïteit van het bedrijf als zich een aanval voordoet en hoe snel het herstelmaatregelen kan treffen na een incident. Niet alleen intellectueel eigendom bij bedrijven is kostbaar, maar het gaat ook om
Bewustwording Hier valt nog een wereld te winnen. Van der Burg bespeurt geen onwil bij bedrijven, maar de bewustwording over de impact van het fenomeen cybersecurity moet groter worden. Hij maakt een vergelijking met de ontwikkeling van de auto-industrie. In het begin was er geen aandacht voor veiligheid, maar na een aantal incidenten hielden ze er steeds meer rekening mee. “Ik zeg altijd: koester die incidenten.” Daarna wordt men namelijk kritischer. Dat geldt ook voor softwareleveranciers. Zij redeneren bij het bouwen van software vanuit de driehoek: economische vooruitgang, gebruikersvrijheid en cybersecurity. Bij het laatste aspect kunnen zij nog stappen zetten. Printers hebben bijvoorbeeld vaak een simpel standaard wachtwoord die gebruikers zelf moeten wijzigen. Je kunt ook een applicatie inbouwen waarbij je als consument de printer pas in gebruik kan nemen nadat je die standaardcode hebt aangepast.
Krankzinnige bedragen Hoogleraar internetveiligheid aan de TU Delft en CSR-lid Michel Van Eeten onderzoekt economische mechanismen rond cybersecurity. Wat de totale schade van cybercrime in euro’s is, valt volgens hem onmogelijk te zeggen. Soms komen rapporten naar buiten van beveiligingsbedrijven die ‘krankzinnige bedragen’ noemen. “Daar erger ik mij aan. Het totale bedrag kun je niet weten.” Ook het recente onderzoek van Deloitte die de totale kosten van cybercrime op 10 miljard euro schat, is volgens Van Eeten puur op theorie gebaseerd. De meeste data die je nodig hebt
17
Van onze redactie Auteur: Wouter Boonstra
zijn onbekend. Hoe weet je immers wat verlies aan intellectueel eigendom kost? Als de hack van een Chinees bedrijf komt, kan die dat product alleen maar in Azië kwijt. Maar dat was sowieso al mogelijk, want die bedrijven maken producten na. Een cyberaanval verandert daar niets aan. Arbeidsproductieverlies Van Eeten neemt sinds twee jaar deel aan een Europees onderzoeksproject dat kijkt naar de kosten van cybersecurity voor bedrijven en organisaties. Volgens hem zitten de grootste maatschappelijke kosten niet in beveiligingsmaatregelen, omdat die naar de verkopers van producten en diensten gaan en dus in de economie blijven. Zelfs cyberdiefstal levert niet direct een verlies voor de maatschappij op, want ook dat geld blijft in de economie. De kosten zitten vooral in de productiviteitsverliezen in een organisatie en in een langzamere of stagnerende welvaartsgroei in het algemeen. Organisaties maken zich druk over kosten van datalekken en reputatieschade, maar preventieve maatregelen zoals vaker in- en uitloggen kosten ook veel geld vanwege het arbeidsproductiviteitsverlies. Die kosten zijn vaak vele malen groter. “We moeten ons dus niet op de verkeerde dingen oriënteren. Het gaat niet alleen om de kosten van een incident, maar vooral ook om de preventiekosten”, benadrukt Van Eeten. Kentering Bij ziekenhuizen kan het productiviteitsverlies om honderden miljoenen per jaar gaan. Dat is veel meer dan de tienduizenden euro’s die ziekenhuizen soms in wanhoop betalen aan hackers die met ransomware delen van hun netwerk hebben versleuteld. “Dokters kunnen niet meer bij gegevens en dan is de logische keuze helaas om de criminelen maar te bevoordelen.” Van Eeten onderzoekt ook de transport- en energiesector. Die laatste sector lijdt productiviteitsverliezen door beveiligingsinvesteringen in de infrastructuur. Die wordt vanwege het efficiënte beheer steeds meer online bediend. Toch bespeurt Van Eeten een kentering. Bedrijven zijn bang voor hacks, want systemen zijn kwetsbaar. ‘Better safe than sorry’ lijkt het adagium te worden. Innovaties en de ontwikkeling van onderscheidende diensten perk je daarmee in. Volgens van Eeten is het nog maar de vraag of we daar als samenleving beter mee af zijn.
18
PULSE MEDIA GROUP
CYBERSECURITY
BEDRIJFSCONTINUÏTEIT
ADVERTORIAL
Alarmeren – Informeren – Communiceren
R
isicoen crisismanagement worden steeds belangrijker om de continuïteit van organisaties te waarborgen. Calamiteiten worden steeds complexer en we zien dat er binnen organisaties vaak nog geen strategisch plan is geformuleerd. Tevens heerst er soms onduidelijkheid over wie de eindverantwoordelijkheid heeft. Het direct en adequaat kunnen alarmeren, informeren en communiceren is cruciaal in het bestrijden en oplossen van een crisis. Picasse is een organisatie die zich volledig heeft gespecialiseerd in het ontwikkelen en exploiteren van systemen en onlinetools voor urgente communicatie. Daarnaast speelt het Picasse-systeem in op de behoefte om nood- en crisisplannen, taakkaarten, locatie-informatie, contactgegevens e.d. te beheren en te distribueren. Eenvoudig en snel alarmeren Met Picasse is het mogelijk handmatig en automatisch berichten te sturen naar (groepen) ontvangers. Voor de ontvangst van berichten maakt Picasse gebruik van mobiele telefoons met eventueel een app. Hierbij wordt de communicatie op onderscheidende en met sterk verhoogde attentiewaarde aan de ontvanger kenbaar gemaakt. De berichten kunnen als teksten spraakbericht over zowel het publiekeals het bedrijfsnetwerk eenvoudig en snel verzonden worden. Door de geïntegreerde aanwezigheidsregistratie kan daarbij
de eigen ICT-infrastructuur. Het is daarnaast een uitstekend middel om nood- en crisisplannen, taakkaarten, contactgegevens e.d. up-to-date te houden en beschikbaar te stellen waar en wanneer dat nodig is.
rekening worden gehouden met de locatie van personen. De verzender ziet na het verzenden in één oogopslag en realtime wie het bericht ontvangen, gelezen en beantwoord heeft. Wanneer direct (crisis)overleg wenselijk is, dan biedt het systeem de mogelijkheid om met één simpele handeling een telefonische vergadering op te zetten met de relevante personen. Dit werkt zeer snel en effectief in kritieke situaties. Altijd en overal Alarmeren is standaard mogelijk via een webapplicatie en via apps voor smartphones en tablets. Daarnaast kunnen (lokale) veiligheids- en bedrijfskritische systemen aangesloten worden op het communicatieplatform. Denk daarbij aan paniekknoppen, brandmeldcentrales, beveiligingssystemen en bedrijfskritische servers.
Voor het ad hoc formeren van multidisciplinaire teams heeft het Picasse-systeem een module waarbij het systeem met één druk op de knop automatisch belt naar diverse specialisten uit verschillende expertiseteams. Op het moment dat een bepaalde specialist niet beschikbaar is, belt het systeem automatisch de volgende beschikbare specialist in dit team. Totdat het team compleet is. Het hele team kan vervolgens direct met elkaar telefonisch overleg plegen.
Eenvoudig beheer via internet Het systeem is zodanig ingericht dat het beheer van gebruikers, groepen, ontvangers, berichtsjablonen, documenten en aangesloten systemen eenvoudig uitgevoerd kan worden via een webapplicatie. Het toekennen van toegangsrechten kan door de beheerder worden bepaald.
verbetert de veiligheid en verkleint gezondheidsrisico’s van uw medewerkers. Daarnaast verbetert de continuïteit van de organisatie doordat de gevolgen van ongewenste gebeurtenissen beperkt worden door het snel en adequaat kunnen handelen. Een onlinesysteem waarbij de onderlinge (groeps)communicatie razendsnel en onafhankelijk van plaats en tijd geïnitieerd en beheerd kan worden, is daarom essentieel.
Is Picasse noodzakelijk? Het snel en betrouwbaar informeren en mobiliseren van de juiste mensen in geval van incidenten, calamiteiten en crisissen
Het Picasse-systeem biedt een sterke verbetering t.o.v. belbomen, PZI (pager) systemen en telefooncentrales. Het is sneller en werkt onafhankelijk van
Meer informatie Langestraat 24 Huizen 088 742 27 73 www.picasse.nl
INTERVIEW met Eric van Scherpenzeel
Je data de bescherming geven die het verdient Waarop moeten bedrijven letten als ze hiervoor een datacenter uitzoeken? “Je begint met het in kaart brengen van je risico’s. Schrijf de scenario’s uit: wat gebeurt er als iets niet functioneert? En hoe erg is het als dit een uur duurt en als dit
“Let bij de keuze van een datacentrum ook op bewezen diensten in de specifieke problematiek die voor jouw organisatie geldt” vier uur duurt? Daarna moet je je afvragen welke risico’s je wil mitigeren en welke je wil accepteren. Je kunt alles afdekken, maar daar zijn ook kosten aan verbonden.” Eric van Scherpenzeel
D
ata, en de continue toegang ertoe, is voor steeds meer bedrijven cruciaal. Goede bescherming ervan is in het kader van de bedrijfscontinuïteit dus van groot belang, ook voor mkb-bedrijven. Dubbele opslag, ofwel twinnen, kan hierbij helpen, zegt Eric van Scherpenzeel, directeur van Data Center Arnhem. Waarom zou je als mkb-bedrijf je data twinnen? “Voor corporates was het al langer gangbaar om hun data op twee plaatsen op te slaan om de continuïteit van hun organisatie te
garanderen, twinnen noemen we dat. We zien nu ook steeds meer mkb-bedrijven dat doen: ze nemen twee omgevingen af bij een datacenter of laten het datacenter als spiegel fungeren van hun eigen digitale omgeving, om zo hun data veilig te stellen. Enerzijds is er het imago dat schade op kan lopen als je geen toegang hebt tot je data. Anderzijds zijn er de dagelijkse operationele processen die bij steeds meer organisaties afhankelijk zijn van software en data. Wanneer je bijvoorbeeld als transportbedrijf geen toegang hebt tot je planning, staat je continuïteit op het spel.”
Wat is verder belangrijk? “Let bij de keuze van een datacentrum ook op bewezen diensten in de specifieke problematiek die voor jouw organisatie geldt. Vraag dus om referenties. En natuurlijk is certificering belangrijk. Minimaal ISO 27001, maar SOC 2-2, de internationale industriestandaard voor uitbestede diensten en cloud computing, is eigenlijk nog beter. Wij waren in 2013 de eerste partij in Nederland die deze certificering ontving.” Wat is er zo goed aan SOC 2-2? “SOC staat voor Service Organization Controls en impliceert dat de operationele
onderdelen van de dienstverlening veel zorgvuldiger onder de loep worden genomen. Veel organisaties gaan voor het ISO-stempeltje en vinken alles van die lijst af, SOC 2-2 gebruikt dezelfde normstelling en gaat daarna een stapje verder. Neem bijvoorbeeld het noodaggregaat dat in werking treedt als de stroom uitvalt: in de ISO-normering staat dat je die faciliteit regelmatig moet checken, zonder enige verdere specificatie. Volgens de SOCnorm moet je elk jaar de conditiestaat van je machine aantonen en laten zien dat je onderhoud hebt gepleegd. Ook moet je de dieseltank laten controleren op een bepaalde bacterie. Pas dan kun je dit deel afvinken. Een auditor controleert jaarlijks of wij dat wat wij aan onze klanten beloven wel kunnen nakomen. Voor ons is SOC 2-2 een manier om onze dienstverlening te verbeteren en om ons als relatief kleine speler te kunnen onderscheiden van grotere partijen. Dat gaat goed: onze datacenters hebben een trackrecord van zeventien jaar zonder downtime.”
Meer informatie TDCA Tivolilaan 251 6802 EG Arnhem 026 30 30 100
[email protected] www.tdca.nl
PULSE MEDIA MEDIA GROUP GROUP PULSE
|
CYBERSECURITY
BEDRIJFSCONTINUÏTEIT MVO
Cybersecurity in de keten
A
ls bedrijf kun je zelf wel de ICT-beveiliging op orde hebben, maar hoe zit dat met je leveranciers en afnemers? Kortom hoe werkt cybersecurity in de keten op strategisch en operationeel niveau? De Cyber Security Raad (CSR) signaleert dat ketenveiligheid nauwelijks op de agenda staat van overheid en bedrijfsleven. Dat kan echt niet meer, zegt Ben Voorhorst, CSR-lid en operationeel directeur (COO) van een Europese netbeheerder. Daarom heeft de energiesector het initiatief genomen een methode te ontwikkelen die ieders specifieke keten in kaart brengt, en die voor iedereen beschikbaar is. Zwakke plekken Informatietechnologie wordt steeds belangrijker in het bedrijfsleven. Tussen bedrijven in een keten is het een belangrijke verbindingsschakel. Door outsourcing van IT en cybersecurity ontstaan nieuwe zwakke plekken tussen organisaties die niet beveiligd zijn. Juist daar kunnen hackers aanvallen. Als je de beveiliging als bedrijf zelf goed op orde hebt, kun je dus door partijen waar je afhankelijk van bent toch geraakt worden in jouw primaire proces. Regelmatige onderlinge afstemming over cybersecurity in de keten is daarom essentieel. De energiesector heeft zijn keten in beeld gebracht, van gasopwekking tot en met productie, transport, distributie en afrekening bij de klant. Voorhorst: “Iedereen die bedrijfscontinuïteit serieus neemt, zou met dit model aan de slag moeten.” Framework De energiesector heeft als een van de vitale sectoren in Nederland al geleerd niet alleen naar het primaire proces te kijken, maar ook naar de ondersteunende kant, zoals de IT. Verschillende partijen in de energieketen hebben de ketenafhankelijkheid onder de loep genomen. Volgens Voorhorst is de winst daarvan dat je met allerlei partijen in de keten praat en gezamenlijk tot cybersecurity komt voor alle vitale processen, zodat de levering van producten en diensten zoveel mogelijk gezamenlijk wordt geborgd. Ze concludeerden dat er geen framework bestond voor hun ketenafhankelijkheid en besloten hier een boekje te maken met een methodiek die ook prima bruikbaar en beschikbaar is in andere ketens. “Doe deze exercitie. Het levert extra kennis en verbeterpunten op”, aldus Voorhorst. Kritische onderdelen Om eigen processen en bedrijfscontinuïteit te waarborgen is het belangrijk te weten wat de kritische onderdelen zijn in de keten. Voorhorst wijst op de IT- en telecomdiensten die bedrijven in de keten gebruiken. IP-routers komen bijvoorbeeld van een selecte groep leveranciers, waardoor bedrijven vaak dezelfde
apparaten gebruiken. Als daar iets gebeurt, is het zaak meteen contact met elkaar op te nemen. Risicodenken en bedrijfscontinuïteit staan in de energiesector hoog op de agenda. De waarde van het ketenoverleg
is dat partijen elkaar beter leren kennen en samen nadenken over hoe zij zich tegen cybergevaren kunnen wapenen. Natuurlijk duurt het even voor het onderling vertrouwen er is. Voorhorst: “Je spreekt toch over de kwetsbaarheden in jouw organisatie.” Maar het vertrouwen is ontstaan. Geen garanties Ook in de directiekamers van de bedrijven staat cybersecurity in het ketenproces naast bedrijfscontinuïteit nu regelmatig op de agenda. En daar hoort het ook thuis, vindt Voorhorst. De verschillende partijen in de keten komen bijvoorbeeld twee keer per jaar bij elkaar om actuele ontwikkelingen in cybersecurity door te nemen. Als zich een serieus incident heeft voorgedaan, moet dat in zo’n ketengesprek op tafel komen om zo de keten te kunnen versterken. De energiesector is hier al ver mee en houdt cybersecurity nauwlettend en gezamenlijk in de gaten. Toch vallen geen garanties te geven dat een inbraak nooit voor zal komen, stelt Voorhorst. “Je moet er met elkaar alles aan doen om met preventie en detectie inbraken te voorkomen. Dat loont in ieder geval meer dan achteraf repareren.” Afspraken en besef CSR-lid Marcel Krom is CIO (Chief Information Officer) bij een Nederlands postbedrijf en voorzitter van het CIO Platform waarin bedrijven en overheden aan de IT-vraagkant bij elkaar komen om te spreken over onder meer cybersecurity. Net als Voorhorst ziet hij dat bedrijven nog weinig beseffen dat ze zich in een keten bevinden. Computersystemen praten met elkaar en wisselen informatie uit. “Gaat er in de keten wat mis, dan ligt je eigen bedrijfsproces ook stil. Besef daarom in welke bedrijfstak je zit en bepaal wie je ketenpartners zijn.” In de logistiek heb je bijvoorbeeld te maken met heel veel andere partijen waar je afspraken mee moet
19
Van onze redactie Auteur: Wouter Boonstra
maken om jezelf veilig te stellen. De CIO heeft hier een taak. Hij maakt met leveranciers afspraken over informatiebeveiliging en legt de rechten en plichten vast in contracten (SLA’s). Het moet in ieder geval de afspraak zijn om in het geval van een incident direct met elkaar in contact te treden. Gezamenlijke zorgplicht Bedrijven die IT gebruiken en bedrijven die IToplossingen leveren hebben volgens Krom een gezamenlijke zorgplicht bij het invullen van veilige oplossingen en gezamenlijke kwaliteitscriteria. Bij grote bedrijven is dat over het algemeen redelijk geborgd, maar in het midden- en kleinbedrijf (mkb) niet altijd. Dat heeft te maken met schaalgrootte en expertise. Vanuit de zorgplicht die ieder bedrijf heeft richting zijn afnemers, zouden ook deze bedrijven zich moeten verdiepen in cybersecurity en beschikbare kennis tot zich moeten nemen. Dit heeft alles te maken met bedrijfscontinuïteit, hoge boetes en het risico op reputatieschade als de boel niet op orde is. ITleveranciers hebben een grote rol als het gaat om het verspreiden van inzichten over cybersecurity binnen het mkb. Checklist voor board Krom is het eens met Voorhorst dat cybersecurity een terugkerend onderwerp moet zijn in de Raad van Bestuur en de Raad van Commissarissen (RvC), onder de noemer bedrijfscontinuïteit. Want borging van bedrijfscontinuïteit is voor ieder bedrijf het allerbelangrijkst. Als er iets misgaat, moeten meteen maatregelen klaarliggen om te reageren. Daar moet vanuit de top voldoende zicht op zijn. De CSR heeft daarom op zijn website een checklist beschikbaar gesteld met vragen die de RvC kan stellen, zodat zij kan inschatten of het bedrijf voldoende is voorbereid op cyberincidenten. Het is daarna zaak het urgentiebesef ook in het operationele proces en op de werkvloer te laten terugkomen. Bewustzijn op werkvloer Technologisch valt veel te voorkomen. Maar cybersecurity is niet alleen voorbehouden aan de IT-afdeling. Het is vooral zaak ook te werken aan de interne cultuur en het gedrag en bewustzijn van je personeel. Cybercrime is geen ver-van-mijn-bedshow, maar realiteit. Er zijn vele voorbeelden van geslaagde cyberaanvallen of -inbraken die door onoplettendheid van medewerkers in gang zijn gezet. “Steek dus niet zomaar een gevonden USB-stick in je computer. Dat is een veel gehanteerde methode om bedrijfssystemen binnen te komen.”
Grenzeloos zakendoen Valutadiensten op maat en flexibel handelskrediet voor het MKB
Meer weten? Contacteer ons op +31 (0) 20 217 0810 of via
[email protected]
ebury.nl
magazine ad_v2.indd 1
13/04/2016 17:53
