De groeiende bedragen aan schade bij cyberincidenten zijn verontrustend en zorgen ervoor dat je als organisatie weet: hier moeten we iets mee. Zulke concrete, grote risico's wil je niet lopen. Het is een logische keuze om deze risico's te beperken. Als organisatie kun je security tests uit laten voeren, een goede cybersecuritystrategie opzetten, het daaruit voortvloeiende beleid uitvoeren en de doorlopende cybersecurity borgen middels procesmatig werken. Hiermee worden de kansen op cyberincidenten verkleind. Echter, security tests zijn momentopnames en er kan altijd een onvoorziene fout optreden waardoor je toch met een datalek of ransomware aanval geconfronteerd wordt.
Om ook de laatste risico's af te dekken is het mogelijk om een cyberverzekering af te sluiten. Deze verzekering draagt zorg voor snelle incident response en vergoeden diverse aspecten van de schade als gevolg van het incident. Denk hierbij aan stilstandschade, het losgeld voor ransomware, de kosten voor forensisch onderzoek of voor het inhuren van PR of juridische experts.
Waarom zou je iets doen aan cybersecurity als je een cyberverzekering hebt?
Maar waarom zou je, als zulke schade middels een cyberverzekering afgedekt is dan überhaupt kiezen voor het laten uitvoeren van security tests? Als de kosten voor een cyberverzekering in verhouding een stuk lager zijn dan het nemen van preventieve securitymaatregelen, en je daarmee de schade dekt na een cyberincident - waarom toch kiezen voor een combinatie van beide?
1. Je wilt alles doen om een cyberincident te voorkomen
Vergelijk het met rookmelders en het aanschaffen van andere brandpreventiemiddelen. Als je voor een inboedel- en opstalverzekering kiest, zou je kunnen zeggen: als er brand is, zijn mijn kosten gedekt dus ik hoef die rookmelders niet te kopen. Maar eigenlijk wil je geen brand meemaken en juist de wetenschap hebben dat je er alles aan hebt gedaan om de brand te voorkomen en de schade te beperken (bijvoorbeeld door een brandblusser of blusdeken in huis te hebben). Hetzelfde geldt voor een cyberincident; er zullen weinig onvoorbereide organisaties te vinden zijn die hun schouders ophalen na een cyberincident en zeggen "ach, de verzekering heeft de boel gedekt".
2. Na een incident kiest men alsnog voor preventieve securitymaatregelen
Na een cyberincident trekken organisaties regelmatig de conclusie dat het incident voorkomen had kunnen worden door preventieve maatregelen te nemen. Omdat ze het niet nogmaals mee willen maken gaan deze organisaties alsnog aan de slag met preventie. Zeker wanneer achteraf is gebleken dat het incident door bekende kwetsbaarheden is veroorzaakt en men alleen al met een goed updatebeleid deze had kunnen voorkomen: dat is een pijnlijke conclusie om te trekken.
3. Je bent nog steeds aansprakelijk
Ook al wordt veel schade gedekt door een cyberverzekering, een boete van de Autoriteit Persoonsgegevens (AP) is dat niet en met een goede reden: de verantwoordelijkheid voor een degelijke cybersecurity ligt nog steeds bij de organisaties zelf. Deze organisaties kunnen daarvoor aansprakelijk worden gesteld. De schade voor alle betrokkenen - bijvoorbeeld klanten of werknemers - kan nog lang doordreunen. Gestolen persoonsgegevens of schade door het niet bereikbaar zijn van uw organisatie of IT kunnen ook voor klanten langdurige gevolgen hebben.
4. Cybersecurity als onderdeel van je groeistrategie
Tot slot merken steeds meer organisaties dat een hoge mate van volwassenheid op het gebied van cybersecurity waarde toevoegt aan hun bedrijf en groeistrategie. Door voorop te lopen ten opzichte van concurrenten hebben zij een streepje voor bij hun klanten en leveranciers. Zowel nationale als internationale organisaties stellen steeds vaker cybersecurity eisen aan hun leveranciers.
Kortom, genoeg redenen om te kiezen voor een combinatie van de juiste preventieve securitymaatregelen en een cyberverzekering voor jullie organisatie. Neem voor meer informatie contact op met onze security specialisten via info@computest.nl of +31 (0)88 733 13 37.