1. Risico's inventariseren
Bij het in kaart brengen van welke dreigingen voor jouw onderneming van toepassing zijn is het goed om je te realiseren dat de dreiging zowel vanuit interne (nalatigheid medewerker) als externe (verwerker, toeleverancier) hoek kan komen en zowel digitaal (hack, ransomware) als fysiek (ongeautoriseerde toegang computersystemen op werkvloer, natuurrampen, stroomuitval) van aard kan zijn. Vergeet bij het inventariseren van mogelijke risico’s op het gebied van informatiebeveiliging vooral ook niet om jezelf (en je collega’s) de vraag te stellen: met welke risico’s hebben we in het verleden al te maken gehad?
Wat zegt de AFM hierover?
- De frequentie en diepgang van de risicobeoordeling mag je afstemmen op jouw situatie, zodat het past bij de omvang en complexiteit van je onderneming en de kenmerken van de informatie en data die je verwerkt.
- In je risicobeoordeling weeg je de belangen mee van de eigen onderneming en de belangen van je stakeholders, zoals van je klanten en van de sector waarin je werkzaam bent.
- Periodiek actualiseer je je risicobeoordeling op basis van inzicht in de voor jouw onderneming relevante dreigingen op het gebied van informatiebeveiliging.
Aan de slag
- Om de risico’s te inventariseren is een analyse van je bedrijf noodzakelijk zodat je antwoord kunt geven op concrete vragen als:
- Welke afdelingen en personen werken met vertrouwelijke gegevens?
- Hoe wordt hiermee omgesprongen?
- Hoe zijn ze beveiligd?
- Wat zijn risicogebieden binnen het bedrijf?
- Digital Trust Center heeft een basisscan Cyberweerbaarheid waarin je aan de hand van 25 stellingen erachter komt hoe jouw onderneming scoort op het gebied van veilig digitaal ondernemen. Na het invullen van de scan ontvang je een rapport, waarin per basisprincipe wordt weergegeven in hoeverre je de basis op orde hebt.
- Cyber Security Raad biedt met de Cybersecurity Health Check een aanvullend hulpmiddel om inzicht te krijgen in de staat van cyberweerbaarheid van de organisatie. Deze check kijkt behalve naar beveiliging ook naar de identificatie van risico’s, de detectie van dreigingen, de reactie op aanvallen en het herstel van schade.