Het beleid rond cyberrisico’s gaat veel verder dan alleen bewustmaking en training, stelt Kyle Brant, Regional Cyber Risk Manager bij verzekeraar Chubb.
Brant bracht dit naar voren tijdens de zesde Risk Frontiers-conferentie die op 30 november in Brussel werd gehouden. Op deze conferentie stond het hedendaagse, en continu veranderende cyberlandschap centraal. Het congres bood inzicht in actuele cyberrisico’s, de manier waarop deze zich ontwikkelen en hoe ze verkleind en verzekerd kunnen worden. Ook werd er gesproken over hoe bedrijven na een cyberincident het beste kunnen reageren om de draad zo snel mogelijk weer op te pakken.
Kyle Bryant, Regional Cyber Risk Manager Europe voor Chubb trapte zijn betoog af door te stellen dat risico-identificatie en -beheer verder moeten gaan dan bewustmaking en training. Bedrijven moeten er in hun managementbeleid op toezien dat procedures voor cyberrisico’s niet alleen worden ingevoerd, maar ook getest en toegepast worden. Gekoppeld aan het bredere thema van de conferentie, onderstreepte Bryant dat bedrijven cyberrisico’s het hoofd moeten bieden met een plan dat niet alleen gericht is op preventie.
Afhankelijk van de specifieke risico’s van een bedrijf moeten er procedures geïmplementeerd en nageleefd worden om deze risico’s in kaart te brengen en adequaat te reageren. Bryant benadrukte dat de aanpak van cyberrisico’s begint met een governance-structuur en beschouwd moet worden als een dynamisch proces. Risicoplanning moet gelijke tred houden met de continu veranderende risico’s die bedrijven lopen. Hij wees in dit verband op Chubb’s onderzoek ‘Bridging the cyber-risk gap’. Hieruit blijkt dat er binnen bedrijven te weinig overeenstemming is tussen risk managers en IT-specialisten over de identificatie en bestrijding van bedreigingen en risico’s. Dat gebrek aan consensus maakt bedrijven kwetsbaar.
Tijdens een paneldiscussie legde Bryant uit dat de dekking van cyberverzekeringen is uitgebreid en er inmiddels veel meer risico’s onder deze dekking vallen. Hij stelde verder dat de waarde van bedrijfsinformatie en data blijft toenemen en die van fysieke eigendommen (property) zal overtreffen. Toch blijft de verzekerde waarde van informatie en data nog ver achter bij die van fysieke eigendommen.
Wat gebeurt er eigenlijk op het moment dat een cyberincident plaatsvindt? Weten bedrijven wanneer en hoe ze een beroep kunnen doen op hun cyberpolis? Dit onderwerp werd tijdens een andere sessie besproken, waaraan onder andere Steve Parry, Claims Director Europe van Chubb, deelnam. Volgens Parry kan een bedrijf grote steken laten vallen op het moment dat niet duidelijk is op welke polis een beroep gedaan kan worden en welke dekking de polis al dan niet biedt. Ter illustratie noemde hij een cyberaanval die resulteerde in brand en explosie veroorzaakte. Het getroffen bedrijf had zowel een brand- als een cyberverzekering, maar wist niet welke polis aangesproken kon worden.
Met de Wannacry-aanvallen nog vers in het geheugen en een toenemende belangstelling van bedrijven voor cyberrisicomanagement, benadrukte deze conferentie nog maar eens dat preventieve maatregelen niet volstaan. Je kunt alles in het werk stellen om een aanval te voorkomen, maar uitsluiten kan niet. Daarom moeten bedrijven passende procedures invoeren en handhaven om incidenten zo snel mogelijk te identificeren en zo efficiënt mogelijk het hoofd te bieden. Ook qua cyberrisicopreventie is er verandering nodig.
Bedrijven zouden meer nadruk moeten leggen op het beheersbaar houden van de gevolgen van incidenten. Door de juiste crisisbestrijdingsmiddelen zijn ze beter voorbereid op het cyberincident dat onvermijdelijk zal plaatsvinden. Of, zoals Bryant concludeerde: “Mensen maken fouten, of het nu vaste of tijdelijke medewerkers zijn, directielid of administratief medewerker. Mensen vormen een moeilijk beheersbaar risico.”
Chubb is partner van Findinet
