Zou je losgeld betalen als je informatie gegijzeld is? Manage de onzekerheid!

“Organisaties redeneren vaak vanuit zekerheid en controle, terwijl digitale veiligheid juist gaat om het managen van onzekerheid.” Aan het woord is Dennis Pieterse, Chief Information Security Officer (CISO) bij Conclusion. 

Volgens Dennis gaat het er niet om óf je geraakt wordt, maar hoe je ervoor zorgt dat je organisatie blijft draaien als het zover is. “Technische middelen en beleid zijn belangrijk. Maar echte weerbaarheid bouw je door inzicht, voorbereiding en samenwerking.” 

“Digitale weerbaarheid rust op drie principes:  beschikbaarheid, integriteit en vertrouwelijkheid”,  zegt Dennis. “Zodat systemen blijven draaien, gegevens betrouwbaar zijn en alleen de juiste mensen toegang hebben. Kijk bij dit laatste naar de keten als geheel. Want ook leveranciers, partners en clouddiensten zijn onderdeel van je IT-landschap.” 

“Bij incidenten is er vaak onduidelijkheid”,  zegt Dennis. “Wie neemt het voortouw? Wie stemt af met juristen, met communicatie? Wie bepaalt of er opgeschaald moet worden? Daarover had je eerder kunnen nadenken.” 

Daarom is het essentieel om scenario’s te benoemen en rollen vooraf te beleggen. “Het hoeft niet allemaal op papier in tien draaiboeken, als je het gesprek maar vóóraf voert. Zodat mensen weten wat hun verantwoordelijkheden zijn.” 

Voor bestuurders betekent dat: kunnen vertrouwen op een strak samenspel tussen security, lijn en staf. “Veiligheid raakt álle lagen, van operations tot HR, van directie tot inkoop. Naarmate de afstemming niet goed zit, neemt je kwetsbaarheid toe.” 

Volgens Dennis denken veel organisaties te lineair over risico’s. “Ze willen vaak alles dichtregelen. Maar dat kan niet en dat hoeft ook niet. De kunst is: wéten waar je kwetsbaar bent en daar bewust mee omgaan.” 

Een confronterend voorbeeld: “Wat doe je als je informatie gegijzeld wordt? Losgeld betalen… tot welk bedrag? Mag dat wel volgens je bedrijfsbeleid: meewerken aan afpersing? Wie beslist erover en wie voert het uit? Dat zijn bestuurskwesties. Als je ze nu bespreekt, voorkom je paniek als het ooit nodig is.” 

Daarom pleit Dennis voor meer scenario-denken in de bestuurskamer.  “Risicomanagement is veel meer dan een compliance-oefening: een strategische exercitie”, zegt hij. 

Zijn advies aan bestuurders? Blijf aangehaakt. “Vertrouw je securityteam, maar stel ook de lastige vragen. Niet om te controleren, maar om te begrijpen wat er speelt. Bespreek de afwegingen, de keuzes die je moet maken. Wat wel, wat niet. Laat je adviseren. Want je hoeft niet alles te weten, maar je moet wél de regie kunnen pakken.”