Cybersecurity is niet meer weg te denken uit het bedrijfsleven. Alle medewerkers binnen een organisatie hebben ermee te maken – of ze nu willen of niet. Nog altijd rijst regelmatig de vraag: wie is er nu uiteindelijk verantwoordelijk voor?

Een handreiking

De Cyber Security Raad meldt hierover het volgende in de handreiking Ieder bedrijf heeft digitale zorgplichten:

‘Ieder bedrijf dat gebruikmaakt van ICT, heeft zorgplichten op het gebied van cybersecurity. Dit geldt ook als ICT slechts een ondersteunende rol speelt. Een gebrek in de cybersecurity kan uw bedrijfsvoering in de war gooien en reputatieschade veroorzaken. Een schending van de zorgplichten kan daarnaast tot aansprakelijkheid leiden. De vervulling van deze plichten is daarom zowel vanuit een economisch als een juridisch oogpunt van groot belang. Zij is uiteindelijk de verantwoordelijkheid van het bestuur of (bij kleinere bedrijven) de directeur.’

Wie is eindverantwoordelijk?

Daar is het antwoord: de eindverantwoordelijkheid ligt bij het bestuur of de directeur als er zich een incident voordoet dat raakt aan cybersecurity. Oók als een eindgebruiker, een medewerker van een bedrijf, te laks is geweest met een wachtwoord. Je ziet het nog weleens: een medewerker die zijn wachtwoord op een papiertje aan een beeldscherm hangt. Stel dat iemand met kwaad in de zin dat ziet en er misbruik van maakt, dan is de medewerker weliswaar het lek, maar het bestuur of de directie van het bedrijf is er uiteindelijk verantwoordelijk voor.

Security awareness moet doorgedrongen zijn

Dat wil niet zeggen dat werknemers rustig achterover kunnen leunen als het om cybersecurity gaat. Integendeel. Zij moeten zich bewust zijn van de digitale gevolgen van elke actie die zij ondernemen. Het is van groot belang dat die awareness tot in alle geledingen van het bedrijf doorgedrongen is.

‘Een hoog niveau van cybersecurity kan slechts worden bereikt als het belang ervan is doorgedrongen tot de hele organisatie’, zo stelt ook de Cyber Security Raad. Tips geeft ze ook: ‘U neemt daartoe organisatorische maatregelen. Uw bedrijf stelt beleidsregels of protocollen op het gebied van cybersecurity op. U houdt toezicht op de naleving van deze regels. De werknemers weten bij wie zij beveiligingsincidenten kunnen en moeten melden. Zij worden gestimuleerd om dit consequent te doen, onder andere door het creëren van een cultuur van alertheid, door cybersecurity bespreekbaar te maken en door werknemers te ‘belonen’ voor het melden van beveiligingsincidenten (die zij niet zelf moedwillig hebben veroorzaakt).’

Security ligt niet bij één afdeling

Binnen bedrijven wordt nog weleens vergeten dat niet alleen de IT-afdeling alert moet zijn op verdachte situaties, maar álle medewerkers. Het laten slingeren van een simpel wachtwoordje kan al grote gevolgen hebben. Zeker omdat veel systemen aan elkaar gekoppeld zijn. Vertrouw nooit zomaar onbekende mensen op de werkvloer. Het verliezen van data kun je als bedrijf niet verkopen, dat moet je te allen tijde voorkomen. Het bewustzijn is het vertrekpunt: beveiligen doen je niet alleen met IT-mensen, maar met het hele bedrijf!