14 feb
“I love it when a plan comes together.”
Dat is de befaamde uitspraak van de leider van het iconische A-team, John ‘Hannibal’ Smith. The A-team redde zich altijd op de meest onmogelijke manieren uit een minstens zo onmogelijke noodsituatie.
Inmiddels hebben we die internetloze jaren tachtig ruim achter ons liggen. Maar de woorden van Hannibal hebben nog steeds waarde. Want als het gaat om cybersecurity moet je voor noodgevallen een plan hebben. Zodat je business zo goed mogelijk kan doordraaien en klanten en leveranciers zo min mogelijk last hebben van een aanval of hack.
Een goed businesscontinuïteitsplan omvat alle mogelijke oorzaken van verstoringen: een brand, een ongeval, een natuurramp maar ook een cyberincident. Het is op zijn minst opgebouwd uit de volgende onderdelen:
- Beschrijving van risico's en bedreigingen voor de continuïteit van de bedrijfsvoering, zoals natuurrampen, cyberaanvallen, pandemieën, etc.
- Impactanalyse op basis van de risico analyse
- Crisismanagement met beschrijving hoe de organisatie zich voorbereid en reageert op een incident
- Herstelstrategie
- Communicatie- en mediacontacten
- Wijze van oefenen en testen
- Wijze van evaluatie inclusief bijstelling
Veel ondernemingen hebben wel een draaiboek opgesteld voor noodgevallen. Dat kan een goede basis bieden voor een businesscontinuïteitsplan. Het draaiboek moet dan wel worden geüpdatet en uitgebreid met digitale noodgevallen. Want die kunnen, nog los van het imago van je bedrijf, een enorme impact hebben op de operationele processen.
Wie aan de slag gaat met het opstellen van zo’n businesscontinuïteitsplan moet ook serieus een cyberverzekering overwegen. Die regelt niet alleen een financiële dekking, maar in geval van nood helpt zo’n verzekering ook met praktische ondersteuning. Je krijgt toegang tot een bron van kennis en ervaring: moet je wel of niet onderhandelen met cybercriminelen, welke instanties moet je inlichten en op welk moment informeer je externe belanghebbenden zoals klanten (ook dat is belangrijk, omdat er een wettelijke termijn geldt vanaf de eerste uiting over een aanval tot aan het verplicht melden bij de autoriteiten). Een verzekeraar kan ook helpen bij het minimaliseren en herstellen van schade. Vergelijk het met een brandverzekering – waarvan niemand zich afvraagt of die nu eigenlijk echt nodig is. De schade van een cyberaanval is misschien minder zichtbaar dan een brand, maar kan ook enorme impact hebben.
Ligt er een plan op de plank, dan is het ook aan te bevelen om regelmatig een oefening te organiseren. Zodat iedereen in de organisatie weet wat hij of zij moet doen in geval van nood – want helaas werkt het in de praktijk niet zoals bij The A-team...
Het mes snijdt aan twee kanten: zo’n oefening maakt medewerkers ook weer bewust van het feit dat zij kunnen bijdragen aan het voorkomen van zo’n noodsituatie.