Digitale weerbaarheid

1. 26 januari 2023, door Adfiz
2. 0 reacties

Alle deskundigen zijn het erover eens; cyberrisico’s vormen de grootste bedreiging voor ondernemingen van groot tot klein. Zeker in een land als Nederland, met een zeer hoge graad van digitalisering, is dat een groot risico. Uit cijfers blijkt dat bijna zeven op de tien ondernemers in Nederland al eens te maken heeft gehad met een cybersecurityincident, zoals een hack of een datalek.

Voor financieel adviseurs is het niet alleen belangrijk dát ze hun digitale weerbaarheid op orde brengen, maar ook dat ze deze zó inrichten, vormgeven en onderhouden dat dit in lijn is met de vereisten die wet- en regelgevers hieraan stellen.

Zo stelt de AVG informatiebeveiligingseisen op het gebied van het beveiligen van persoonsgegevens, het inschakelen van verwerkers en de omgang met datalekken. De AFM verwacht dat de wijze waarop wordt omgegaan met informatiebeveiliging en digitale weerbaarheid wordt vastgelegd in beleid, dat daarnaar gehandeld wordt en dat het beleid up-to-date wordt gehouden. En ook op Europees niveau wordt met de verordening DORA gewerkt aan het vergroten van de digitale weerbaarheid van ondernemingen in de financiële sector

Stappenplan

In het kennisportaal Digitale weerbaarheid wordt aan de hand van een vijfstappenplan uitgelegd hoe advieskantoren hun informatiebeveiliging structureel op orde houden en hoe ze dat kunnen doen zodat ze ook meteen compliant zijn. Daarvoor wordt per stap aangegeven hoe de AFM kijkt naar de benodigde maatregelen, welke tools kunnen helpen om de stappen goed te doorlopen en waar meer informatie kan worden gevonden.

Stap 1: risico’s inventariseren. Welke risico’s loopt de onderneming? Daarbij is het goed voor de ondernemer om zich te realiseren dat de dreiging kan komen vanuit: intern (nalatigheid medewerker), extern (verwerker, toeleverancier), digitaal (hack, ransomware), fysiek (ongeautoriseerde toegang computersystemen op werkvloer, natuurrampen, stroomuitval).

Stap 2: maatregelen treffen. Als inzichtelijk is welke risico’s de onderneming loopt op het gebied van informatiebeveiliging, wordt vanzelf ook duidelijk óf er al maatregelen zijn getroffen en zo ja, welke maatregelen dat dan zijn. De maatregelen voor informatiebeveiliging zijn onder te verdelen in vier gebieden: technisch (antivirussoftware, firewalls, encryptie), mens en cultuur (bewustwordingsprogramma’s, trainingen, waar melden), processen (beschikbaarheid, integriteit en vertrouwelijkheid van systemen waarborgen), fysiek (gebouwen, apparatuur).

Stap 3: verantwoordelijken aanwijzen. Vastleggen wie verantwoordelijk is voor het treffen, uitvoeren en onderhouden van de maatregelen. Niet alleen intern, maar ook in het geval bepaalde (kritische) diensten en activiteiten zijn uitbesteed.

Stap 4: implementatie. Zijn de informatiebeveiligingsrisico’s binnen de onderneming geïnventariseerd, de juiste maatregelen bepaald om ze te (helpen) voorkomen en verantwoordelijken aangewezen, dan is het belangrijk om ervoor te zorgen dat de wijze waarop de onderneming met informatiebeveiliging wil omgaan, wordt ingevoerd en nageleefd.

Stap 5: schriftelijke vastlegging. In het informatiebeveiligingsbeleid legt de onderneming vast hoe de organisatie met een samenhangend geheel van maatregelen, procedures en processen de informatiebeveiligingsrisico’s beheerst. Het informatiebeveiligingsbeleid moet actueel gehouden worden door dreigingen en risico’s periodiek te evalueren.

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen 

Meer over

• digitale weerbaarheid