Risk managers laten het internet risicobeheer nog teveel over aan technische toplieden, maar het gaat om méér dan een IT-risico.
Risk managers erkennen dat het cyberrisico hoog op de lijst staat van meest significante risico’s van organisaties, maar FERMA bestuurslid Julia Graham is van mening dat veel riskmanagers nog niet volledig de regie op zich nemen. "Mijn ervaring is, dat sprake is van een tendens, dat zij dit overlaten aan chief information officers of aan de technische leiding. Toch gaat het niet alleen om een IT risico. Het betreft ondernemingsrisico’s die riskmanagers moeten managen,"zegt ze.
Risicobeheer en risicofinanciering met betrekking tot cyberrisico’s staan op de agenda van het FERMA Forum, dat op 29 september in Maastricht begint.
Julia Graham: "je hoeft niet een technologie-expert te worden voor het beheren van het risico. Er is genoeg materiaal beschikbaar die in begrijpelijke taal de riskmanager en bestuurs- en directieleden wegwijs maken. Veiligheid van de cyberruimte”, zegt ze, "moet worden geïntegreerd in het enterprise risk management (ERM) systeem, en de hoogste leiding moet op dit terrein een kritische toezichthoudende rol spelen. Ze moet meer gedetailleerd doorvragen over de cyber-beveiligingsrisico’s die zij mogelijk lopen en over de gevolgen van eventuele incidenten in het verleden hebben."
Het risicobeheer eindigt niet op het moment dat er een plan van aanpak ligt, waarschuwt ze. De ontwikkelingen op het gebied van cybercrime volgen elkaar sneller op dan het tempo van de verbeteringen in de beveiliging van gegevens. Het beheer van cyber risico’s moet een continu proces zijn en een vast onderdeel van de manier waarop een organisatie alle risico’s beheert.”
Cyberverzekering
De Europese Commissie onderzoekt welke rol de verzekeringsmarkt speelt in de beveiliging van de cyberruimte. FERMA werkt mee aan deze verkenningstocht. Julia Graham merkt op dat de dekking die verzekeraars bieden de laatste tijd aanzienlijk zijn verbeterd. Zij is “blij met het feit dat verzekeraars de diverse risico’s van cyberschade in één verzekeringsdekking bundelen. Zij bieden oplossingen die werkelijk toegevoegde waarde hebben, inclusief praktische ondersteuning om de gevolgen van een incident zo gering mogelijk te houden en voor de toekomst zoveel uit te sluiten.”
Maar, voegt ze daaraan toe: “Voordat de verzekeraar in beeld komt moet de onderneming zelf de risico’s beoordelen en waar mogelijk zelf preventieve maatregelen nemen. Alleen dan kan bepaald worden welke risico’s niet kunnen worden weggenomen en afgedekt moeten worden door een verzekeraar.”
Graham wijst erop dat risicobeoordeling en verzekeren voor een belangrijk deel maatwerk zullen zijn. "Hetzelfde beleid kan niet toegepast worden met betrekking tot bijvoorbeeld productiebedrijven en de kritische infrastructuur van ondernemingen die geld beheren van derden. Bij advocatenkantoren zullen weer andere risico’s spelen dan bij architecten met hun hoogwaardige intellectuele eigendommen."
FERMA is de koepel van riskmanagers verenigingen in 20 landen (NARIM in Nederland). Ditmaal organiseert FERMA haar Risk Management Forum in Maastricht van 29 september tot 2 oktober.
Meer informatie op de website van FERMA
