Zonder printje is IT-rampenplan waardeloos

Het is voor Lindy Cameron, de net aangetreden topvrouw van het Britse National Cyber Security Centre (NCSC) exemplarisch voor het gebrek aan aandacht voor IT-risico's in veel bestuurskamers. ZDNet sprak met haar naar aanleiding van haar eerste speech vorige week die ze hield aan de Queen's University in Belfast.

"Ik wil dat organisaties begrijpen hoe serieus de gevolgen kunnen zijn wanneer er iets verkeerd gaat. En zelfs al een organisatie denkt dat er een plan daarvoor is, kunnen dingen nog steeds verkeerd gaan als basale elementen niet goed geregeld zijn."

Niet alleen technisch probleem

Volgens Cameron moet de CEO net zo vaak spreken met de CISO als met de CFO en de Legal Officer. En dan moet het niet een oppervlakkig gesprekje zijn, maar een serieuze analyse van de risico's. Het gaat niet alleen om een technisch probleem. Plannen om de bedrijfscontinuïteit te waarborgen, moeten steeds opnieuw worden geëvalueerd. "Het is de moeite waard om regelmatig de worst case scenario's grondig door te spreken en te bezien wat er moet worden gedaan om de ergste gevolgen te stoppen en vervolgschade af te wenden."

Kalf verdronken

De reden dat Cameron er zo veel nadruk op legt is dat ze ziet dat veel organisaties die serieus slachtoffer zijn geworden van een cyberaanval, opeens hun beveiligingsstrategie omgooien. Natuurlijk zijn er lessen te trekken uit elk voorval, maar het is beter goed voorbereid te zijn.

Organisaties kunnen daarbij gebruik maken van hulpmiddelen die onder meer bij NCSC beschikbaar zijn, zoals een standaard brandoefening voor IT-rampen (Excercise-in-a-box). Het Nederlandse NCSC heeft ook adviezen online staan, zoals tips om ransomware-aanvallen te voorkomen, actuele beveiligingsadviezen en meer algemene adviezen om de weerbaarheid van organisatie te vergroten.

NCSC-directeur Hans de Vries raadde organisaties tijdens een interview met AG Connect ook aan om goede digitale oefeningen te doen. “We vinden het heel normaal dat we medische oefeningen en brandveiligheidsoefeningen doen, maar digitale oefeningen blijken opeens lastig. Maar je moet juist oefenen alsof je organisatie er vanaf hangt. Dat is namelijk ook zo.”