Digitalisering van onze maatschappij en de voortdurende evolutie van de techniek leggen steeds meer druk op een goede informatiebeveiliging. In een artikel dat in april in het FD is verschenen, blijkt dat dit makkelijker gezegd is dan gedaan. Veel bestuurders en ondernemers hebben te weinig kennis van IT-zaken. Deskundigen luiden nog net niet de noodklok.
Cyberbeveiliging ontbreekt in accountantsverklaring
In samenspraak met het FD heeft NOREA een onderzoek gehouden onder haar leden naar cyberbeveiliging. Hieruit komt naar voren dat er voldoende urgentie is onder bestuurders maar dat veelal het investeringsniveau te laag is. IT-auditors zien de gebreken in de cyberbeveiliging, maar het onderwerp komt nauwelijks terug in de accountantsverklaringen. Naar aanleiding van dit onderzoek zijn kamervragen gesteld die ingaan op het belang cyberbeveiliging in accountantsverklaringen. Dit geldt met name voor accountants van controleplichtige organisaties. Wordt hiermee niet een belangrijke groep over het hoofd gezien, zoals het MKB?
Digitale fraude binnen het MKB
Uit een onderzoek dat vorig jaar door de KvK is uitgevoerd, komt naar voren dat twee op de vijf MKB’ers het afgelopen jaar daadwerkelijk te maken heeft gehad met vormen van digitale fraude. Ook hier blijkt dat een derde van de MKB ondernemers aangaf dat ze weinig of geen kennis in huis hebben over het voorkomen van diverse vormen van cyberdreiging, zoals bijvoorbeeld ransomware. Binnen het MKB is dit de meest voorkomende vorm van digitale fraude. De meeste innovatie vindt plaats binnen het MKB. Het MKB is daardoor extreem gevoelig voor digitale fraude. Het is al vaker voorgekomen dat een ondernemer op een beurs zijn nog geheime ontwerp ontdekte bij een concurrent. Het lijkt dan ook geen overbodige luxe dat deze kamervragen gelden voor geheel ondernemend Nederland, van klein MKB naar grote internationale ondernemingen.
De mens als zwakste schakel
Informatie moet tegenwoordig 24/7 online beschikbaar zijn en de uitwisseling van gegevens heeft een goede beveiliging nodig. Informatiebeveiliging vraagt om een andere aanpak dan de nieuwe privacywet (AVG), maar is wel een cruciaal onderdeel van gegevensbescherming. Wanneer is informatie echt ‘veilig’? Informatie is pas echt ‘veilig’ als de mensen in de organisatie op de juiste manier omgaan met de bijbehorende technische en organisatorische maatregelen. In de praktijk blijkt dat de zwakste schakel helaas nog altijd de mens is. Een organisatie kan aan de voordeur alles dichttimmeren met de meest recente firewalls en virusscanners om hackers buiten te houden. Je voorkomt hiermee niet de fouten die ontstaan door menselijk handelen. Een mail of gratis verkregen USB stick van een ogenschijnlijk betrouwbare bron kan bij het openen desastreuze gevolgen hebben voor je organisatie. Wanneer je een ICT systeem voor iedereen toegankelijk maakt, is de kans groot dat er gegevens ‘op straat’ belanden. Informatiebeveiliging en privacy moeten daarom deel uit maken van het primaire organisatieproces. Voor een optimale informatieveiligheid is het van belang dat er binnen de organisatie bewustwording is van de risico’s die er zijn.