10 inzichten over het Nederlandse bedrijfsleven

ManagementTeam kwam met 10 inzichten over het Nederlandse bedrijfsleven. Hier herhalen we ze nog maar een keer en verwijzen je voor het gehele artikel natuurlijk naar ManagementTeam.

#1. WAAROM HEINEKEN HET BESTE BEDRIJF IS
#2. WAT VROUWEN WILLEN VAN HET BEDRIJFSLEVEN
#3. WAAROM DICK BOER (AHOLD) DE BESTE CEO IS
#4. VROUWEN KIEZEN VOOR IETS MEER TOPVROUW
#5. DE AGRARISCHE SECTOR IS MINST POPULAIR
#6. VROUW WIL BIJ ENDEMOL WERKEN, MAN WIL NU EERST EEN HEINEKEN
#7. ‘SUCCESVOL ZIJN’ IS NIET HETZELFDE ALS ‘GEWILD ZIJN’
#8. ‘GEWILD ZIJN’ IS OOK NIET GELIJK AAN ‘SUCCESVOL ZIJN’
#9. ‘SUCCESVOL ZIJN’ KAN OP VERSCHILLENDE MANIEREN
#10. DE NUMMER LAATST STAAT NIET ALLEEN

Excuus voor de schreeuwerige hoofdletters in deze 10 inzichten. Het is nu eenmaal de schrijfwijze van ManagementTeam.

Bedrijven in zes sectoren moeten hack melden

Hadden we het gisteren nog over het tekort aan kennis op het gebied van informatiebeveiliging in 2016 en zagen we daarbij dat dat tekort er eigenlijk op dit moment al is? Dan sluiten we daar vandaag bij aan met een bericht waarmee nog duidelijker zal worden dat het tekort snel zal toenemen.

Er komt een meldplicht voor bedrijven die de dupe zijn geworden van een ernstige hack. De meldplicht geldt alleen voor bedrijven in zes sectoren, waar het gevaar bestaat dat een digitale inbraak het maatschappelijk leven ontwricht…De meldplicht moet er nog dit jaar zijn voor onder meer sectoren die zich bezighouden met nutsvoorzieningen, telecom en de luchthavens als Schiphol en Rotterdam The Hague Airport. Maar ook de overheid zelf en de financiële sector moeten zich aan de meldplicht houden. Nog voor het einde van het jaar moet de wettelijke verplichting een feit zijn (bron).

Nu is de meldplicht op zich al een reden voor bedrijven om er wakker van te liggen maar als we nog net even een paar stappen verder denken dan betekent een dergelijke meldplicht ook dat we daadwerkelijk “in control” moeten komen op het gebied van informatiebeveiliging. We moeten niet alleen het beveiligingsniveau op orde hebben maar moeten daar ook sturing aan geven. We moeten gaan meten wat we al goed doen en waar we nog achter lopen. We moeten meetbaar maken waar zich risico’s voor zouden kunnen doen en waar zich reeds incidenten voor hebben gedaan.

Een hele interessante want er zijn nog maar weinig bedrijven die echt “in control” zijn op dit gebied. Een aantal is nog niet eens compliant en heeft nog bergen werk te verzetten. En nu kun je concluderen dat je natuurlijk als bedrijf alleen maar hoeft te melden wat je ook daadwerkelijk weet. Maar zo makkelijk kom je er (hopelijk) niet vanaf.

Nee, vergelijk het met de jaarrekening die veel bedrijven op moeten leveren. Daarbij moet je daadwerkelijk zicht hebben op je financiën. En natuurlijk weet ik dat je een jaarrekening ook met een dikke of dunne pen in het rood of in het groen kunt kleuren…er is niets tegen een beetje creatief boekhouden als het de waarheid maar weergeeft (welke waarheid mag je deels zelf bepalen maar ga je daarin te ver dan komt je dat duur te staan).

Iets dergelijks zou je op basis van een dergelijke meldplicht ook voor informatiebeveiliging (of breder voor je hele bedrijfsvoering) in kunnen stellen. Dat is misschien voor nu nog een brug te ver en zal alleen nog maar meer druk zetten op de aantallen informatiebeveiligers die nodig zijn, maar als ons dat ooit lukt hebben we een grotere kans dat er meer organisaties ook echt serieus naar gaan kijken.