WELKOM BIJ DEZE PRESENTATIE Omgaan met informatierisico’s. 16 april 2015
[email protected]
De komende 15 minuten • Even voorstellen • Actualiteit • Een veranderende wereld • Veel leed is te voorkomen + kort fimpje • Nut en noodzaak van risicoanalyses • Verzekeringsoplossingen + voorbeelden • Vragen en contact
Actualiteit “Cybercrime begint onze reële economie te raken en kan onze groei beperken” Staatssecretaris Klaas Dijkhoff” FD 11 april 2015
“We moeten veel meer van preventie naar detectie', zegt Ronald Prins, directeur van beveiligingsbedrijf Fox-it. 'Al onze klanten zeggen te investeren in veiligheid. Maar dan blijkt dat ze een doosje in het netwerk hebben gezet. Het is een ouderwetse manier van denken. Het heeft geen zin een hogere muur te bouwen. Wat je nodig hebt zijn mensen die de hele dag in de gaten houden wat er op hun netwerk gebeurt en direct kunnen ingrijpen bij een incident” FD 12 april 2015
Begrippenkader • Informatie = gegevens (data) die kennis vergroten. (papier, audio, beeld, geheugen, elektronisch opgeslagen) • Alleen gegevens in een bepaalde context kan informatie bevatten. • Een risico is het onzekere gebeurtenis , met een effect op uw doelstelling(en). (onzeker voorval) • Een data-risico is een incident waarbij gevoelige, beschermde of vertrouwelijke gegevens; gekopieerd, overgedragen, gemanipuleerd, gestolen of gebruikt worden
Een veranderende wereld….. Ondernemers als u denken in kansen en zijn positief gedreven, juist nu…………. maar...
Veel leed is te voorkomen • Onbewust onbekwaam > bewust onbekwaam.
• Blijf de risicovraag stellen.
• Stel beleid op samen met medewerkers
• Zorg voor een calamiteitenplan of besteed uit.
Waar kan Meeùs u mee helpen…..
(Deel) Analyse
Risicobeleid
Beheersen Neutraliseren Verkleinen Beheersen Zelf dragen
Overdragen
Oplossingen
Verzekeraar / assuradeur
Oorzaken en gevolgen 29% falen van ICT-systemen en processen
41% inbreuk op data met criminele intentie
30% nalatigheid medewerkers
Verzekering als beheersmaatregel
• Preventie zal niet altijd afdoende zijn • Materiële - en immaterië schade niet te voorzien • De traditionele zakelijke verzekeringen, bieden géén of slechts beperkte dekking. • Dekkingen bieden meer dan een schade-uitkering alléén.
En waar voorziet zo’n polis in EIGEN SCHADE (first party) 1. Data inbreuk Forensisch ICT onderzoek Kosten externe deskundigen melden inbreuk (juridisch, communicatie betrokkenen, meldplicht, callcenter etc.) Kosten crisismanagement en PR 2. Cyber business interruption Optioneel kan ook niet online omzet veroorzaakt door de hack verzekerd worden 3. Hacker schade Kosten herstel website, intranet, netwerk, computersysteem, programma’s of data 4. Cyber afpersing Kosten en vergoedingen van onderzoek, assistentie en eventueel betaald losgeld
En……. AANSPRAKELIJKHEID (third party) 1. Privacy aansprakelijkheid De gevolgen van gestolen privacygevoelige gegevens - Kosten van onderzoek - Claims van individuele personen - Schending geheimhoudingsplicht - Boetes opgelegd door toezichthouders, of andere verplichte vergoedingen (Wet Meldplicht Datalekken!) 2. Cyber aansprakelijkheid Schade die ontstaat als een website of e-mail onbedoeld een auteursrecht schendt, laster verspreidt of een virus bevat.
Een paar voorbeelden PRAKTIJKVOORBEELDEN Advocatuur Een partner van een kantoor laat vier dossiers op de achterbank van haar auto liggen. Na inbraak in de auto krijgt zij een telefoontje dat ze de dossiers kan terugkopen voor € 20.000, Dekking Module Cyber afpersing analyse bedreiging (hoe serieus) Is exact bekend welke dossiers het betreffen? Ja Module Kosten Inbreuk (communicatiekosten belanghebbenden) Nee Module Kosten Inbreuk (kosten onderzoek) Eventueel Module Privacy Protectie (aansprakelijkheid)
Een paar voorbeelden PRAKTIJKVOORBEELDEN Hotel Een klein hotel aan zee met 25 kamers biedt haar klanten de mogelijkheid om kamers online op haar website te reserveren. De website wordt gehacked en reserveren is niet meer mogelijk. Dekking Module Kosten Inbreuk forensisch ICT onderzoek Module Hacker schade herstel netwerk + website + data Module Business interruption internetinkomsten (vaste vergoeding per uur /- retentietijd)
Conclusie • Onderschat het data-risico niet; • Betrek specialisten erbij; • Train personeel; • Blijf nuchter nadenken; • Besteed veel aandacht aan preventie en overweeg verzekering als 1 van de mogelijke beheersmaatregelen.
VRAGEN? Menno Sombroek 06 20238551
[email protected]
Meeùs werkt samen met:
Disclaimer: The information in this presentation was compiled with the greatest care; nevertheless, no rights may be derived from this publication. Consequently, no rights may be derived from the information in this presentation and no liability is accepted for losses arising from incorrect and/or outdated information, within the limits of Dutch law.
meeus.com Meeùs is onderdeel van Aegon.