Home Security GDPR: van compliance naar accountability

GDPR: van compliance naar accountability

143

De groeiende impact van cybercrime op onze maatschappij wordt telkens weer pijnlijk duidelijk. We zagen het aan de gevolgen van de WannaCry- en NotPeyta-aanvallen, eerder dit jaar. Hierbij kwam bijvoorbeeld het containeroverslagbedrijf APM in Rotterdam ruim een week plat te liggen. Een recent onderzoek door Deloitte wijst uit dat het Nederlandse bedrijfsleven en de overheid jaarlijks zo’n 10 miljard euro verliezen door cybercriminaliteit. Een enorm bedrag.

Ik vermoed dat de daadwerkelijk schade zelfs nog groter is. Organisaties willen immers niet altijd toegeven dat zij het slachtoffer zijn geworden van cybercriminaliteit. Zeker organisaties die te maken hebben met ransomware – en dat zijn er heel veel – brengen dat liever niet naar buiten. Want daarmee geven ze eigenlijk toe dat hun beveiliging gefaald heeft.

Daarom zijn de Meldplicht datalekken en de GDPR in mijn optiek belangrijke stappen vooruit. Ze dwingen organisaties om beter na te denken over hoe ze hun informatie beveiligen. Aanvankelijk was de dreiging van hoge boetes een belangrijke drijfveer om de procedures en maatregelen rond informatiebeveiliging goed onder de loep te nemen. Maar intussen begint het besef door te dringen dat het vooral gaat om de meldplicht bij incidenten. Daarmee worden organisaties verplicht om de buitenwereld te laten weten dat zij hun informatiebeveiliging niet op orde hadden. Dit, met alle gevolgen voor de reputatie van dien.

Verantwoordelijkheid

In die zin zien we nu een verschuiving in de manier waarop het management van organisaties aankijkt tegen het thema informatiebeveiliging. Tot voor kort draaide het vooral om compliance: in feite het afvinken van een lange lijst eisen, waaruit blijkt dat de minimaal noodzakelijke maatregelen zijn getroffen. In plaats daarvan gaat het nu meer en meer om accountability: wie is er verantwoordelijk voor het beveiligen van informatie en wie wordt er dus aangesproken als zich een incident voordoet?

Dit is volgens veel mij effectiever als het erom gaat dat het management zich bewust wordt van het feit dat zij uiteindelijk verantwoordelijk zijn voor het beschermen van de informatie van het bedrijf, van partners, van klanten. Men kan zich niet langer verschuilen achter de compliance eisen ‘waar toch aan is voldaan’. Nee, in plaats daarvan moet nu aangetoond worden dat niet slechts het minimale is gedaan om die informatie te beschermen, maar dat al het mogelijke is gedaan. En dat is een totaal andere insteek.

GDPR-consultants

Dit zorgt ervoor dat er ook een andere behoefte ontstaat bij organisaties. Zij zijn niet alleen meer op zoek naar de juiste partijen om te helpen bij het optimaal beveiligen van hun informatiesystemen, maar ook steeds vaker naar partijen – externe GDPR-consultants – die een goede security audit op hun informatiesystemen kunnen uitvoeren. Die zoeken precies uit waar eventuele zwakheden zitten en geven aan waar zaken verbeterd dienen te worden. Daarnaast wordt aan deze consultants gevraagd om een plan op te stellen voor het geval er toch een datalek plaatsvindt. Hoe komen we er achter welke informatie is betroffen? Wie moeten we informeren? Wat zijn de verdere procedures?

De uitdaging is natuurlijk om een externe partij te vinden die inderdaad over de juiste kennis en expertise beschikt. Juist omdat de vraag zo enorm groeit, zien we dat steeds meer partijen in dit gat springen. De vraag is echter: hoe weet je of je met een goede partner in zee gaat? Want ook als je de informatiebeveiliging uitbesteedt aan een externe partij, uiteindelijk blijf je zelf verantwoordelijk. Wat dat betreft zie ik zeker iets in het voorstel voor een keurmerk voor beveiligingsbedrijven, zoals onlangs is voorgesteld. Een dergelijk keurmerk zou bedrijven – zeker MKB-bedrijven – in ieder geval een houvast bieden bij het kiezen van een goede externe securitypartner

Zou het niet geweldig zijn als er over drie, vier jaar opnieuw een onderzoek wordt gedaan naar de schade tegen gevolge van cybercriminaliteit en dat dan blijkt dat die kosten aanzienlijk gedaald zijn? Wellicht gaat de GDPR daar voor zorgen.

Dirk Cools, Country Manager G DATA Benelux

 

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in