Cyberrisicomanagement: Hoe bepaal je eenvoudig welk risico je loopt?

16 aug Cyberrisicomanagement: Hoe bepaal je eenvoudig welk risico je loopt?

Om risico’s te managen moet je begrijpen met welke risico’s je te maken hebt. Nu hacks, malware en cryptolockers dagelijks in het nieuws zijn, krijgen bestuurders en managers de indruk dat ze extreem veel risico lopen. Dat is gelukkig niet altijd het geval. Hoeveel risico zij lopen hangt af van de aard van hun organisatie, de aantrekkelijkheid van die organisatie voor kwaadwillenden en van de middelen die deze partijen kunnen vrijmaken voor hun acties. Het loont daarom goed na te denken over wie jouw organisatie schade zou willen berokkenen en welke motivatie deze partij heeft. Een zeer gemotiveerde partij maakt namelijk over het algemeen meer middelen vrij om een hack te plegen. De tabel hieronder kan daarbij helpen. In deze tabel worden diverse partijen beschreven die aanvallen via internet zouden kunnen plegen. Achtereenvolgens wordt beschreven wat het motief van deze partijen is, welk doel(wit) ze vaak hebben en wat de middelen zijn die ze ter beschikking hebben.

Vormt jouw organisatie een militair doelwit, dan maakt de tabel duidelijk dat landen relatief veel middelen hebben om te spioneren, inlichtingen in te winnen en/of om infrastructuur lam te leggen. Op internet zijn hiervan diverse voorbeelden te vinden, waaronder dit bericht: Israel and US fingered for Stuxnet attack on Iran. Inmiddels blijken ook verschillende landen middelen en expertise aan te wenden om intellectueel eigendom te stelen, zodat zij lokale organisaties concurrentievoordeel kunnen bieden (zie bijvoorbeeld dit bericht: Bronnen bevestigen Chinese ASML-hack). Omdat deze landen relatief veel middelen tot hun beschikking hebben, vergt het van hun doelwitten behoorlijk wat inspanning om zich tegen hun aanvallen te beschermen.

Veruit de meeste organisaties hebben te maken met criminele en met malafide organisaties, zoals concurrenten. Afhankelijk van de mate van financieel gewin worden de daders hierbij steeds professioneler, waarbij ook het budget voor een hack navenant toeneemt. Ook mensen die voor grote banken werken of die toegang hebben tot veel intellectueel eigendom/patiëntgegevens/creditcard informatie, vormen interessante doelwitten. Is er sprake van een relatief laag financieel gewin, dan moeten organisaties vooral rekening houden met criminelen (waaronder rancuneuze (ex-)medewerkers) en malafide organisaties. Helaas zijn er geen organisaties die geen risico lopen: zelfs de kleinste organisaties hebben een reële kans om een incident mee te maken.

Als manager of bestuurder moet je je dus afvragen: wie heeft het op mijn organisatie gemunt en welke middelen heeft deze partij beschikbaar? Heeft een potentieel gevaar voor jouw organisatie toegang tot veel middelen, dan neemt ook de kans op een incident toe. De mogelijke schade van een eventuele aanval bepaalt vervolgens welke preventieve, curatieve en mitigerende maatregelen jouw organisatie moet treffen.

Guardian360 heeft veel expertise op dit gebied. Wij zijn gewend om eerst te bepalen wat de kroonjuwelen van een organisatie zijn en welke maatregelen er al getroffen zijn om een incident te voorkomen. Vaak is het beter bewaken van de maatregelen al voldoende om de kans op een incident fors te verlagen. Wilt u daar een keer over doorpraten? Neem dan contact met ons op!