Cybercrime is voor veel organisaties een grote zorg. Een hack kan enorme gevolgen hebben voor de continuïteit. Hoe kan de or helpen de vijand in de computer te verslaan?
Er is al meteen een realitycheck nodig. De vijand zit in minder dan de helft van de gevallen in je computer. Ongeveer 60 procent van de incidenten op het gebied van cybersecurity wordt niet veroorzaakt door een hack, maar door de eigen werknemers, zo blijkt uit onderzoek van Willis Towers Watson. Denk bijvoorbeeld aan een verloren of gestolen laptop, software die niet doet wat het moet doen of een werknemer die willens en wetens gegevens lekt.
60 procent van de incidenten op het gebied van cybersecurity
wordt niet veroorzaakt door een hack
Grote incidenten met databescherming
Willis Towers Watson bekeek de gegevens van de medewerkerstevredenheidsonderzoeken (MTO) van 450.000 werknemers in Europa, Noord-Amerika en Azië. Allen werkten voor bedrijven die te maken hadden gehad met incidenten op het gebied van databescherming. Deze gegevens werden vergeleken met uitkomsten van MTO’s van bedrijven die hun data juist heel goed weten te beschermen.
Slecht imago van de organisatie
Werknemers van de slecht scorende bedrijven zeggen dat hun werkgever steken laat vallen als het gaat om training van medewerkers, het imago van de organisatie en de focus op de belangen van de klant. Door dat laatste zouden bedrijven en hun werknemers zich ook niet realiseren hoe belangrijk het is om gegevens over klanten goed te beveiligen.
Cybercrime door eigen werknemers
Ook het Nationaal Cyber Security Centrum van het ministerie van Veiligheid en Justitie wijst erop dat verschillende vormen van cybercrime bewust of onbewust kunnen worden veroorzaakt door het computergebruik van eigen medewerkers. De gevolgen voor de organisatie kunnen groot zijn: “Door het oneigenlijk gebruik van het bedrijfsnetwerk, e-mail- of internetfaciliteiten kan het bedrijf schuldig zijn aan het inbreken op websites van anderen, het zich op een ongeoorloofde wijze toegang verschaffen tot afgeschermde informatie of het verspreiden van virussen.”
Beveiligingsrisico’s beheersen
Een van de maatregelen die werkgevers kunnen nemen, is het overgaan tot het monitoren van het gebruik van de bedrijfsnetwerken en de gegevens hierover vastleggen om beveiligingsrisico’s te beheersen. Maar dat mag niet zo maar. Een werknemer heeft op zijn werkplek recht op bescherming van zijn privacy.
Een ondernemer die het gedrag van zijn medewerkers wil
controleren, heeft instemming van de or nodig
Rol van de ondernemingsraad
Voordat een ondernemer maatregelen mag treffen voor gebruik van en omgang met persoonsgegevens, moet hij daarvoor instemming vragen aan de ondernemingsraad. Dat zelfde geldt wanneer de ondernemer het gedrag van zijn werknemers wil controleren. Volgens art. 27 lid 1 sub k en l WOR valt ook dit onder het instemmingsrecht van de ondernemingsraad.
Als de ondernemer dit nalaat, dan kan de ondernemingsraad de regeling voor de controle van het computergebruik nietig verklaren (art. 27 lid 5 WOR).
Informatieplicht werkgever
Voordat de ondernemingsraad instemt met het controleren van het computergebruik van medewerkers, is het van belang te weten dat de werkgever een informatieplicht heeft. Een werkgever die het computergebruik van medewerkers wil monitoren moet zijn werknemers informeren over:
Technologie is niet dé oplossing voor cyberrisico’s, maar slechts een
van de wapens die je inzet om datalekken en hacks te voorkomen
Inzetten op bewustwording
De or hoeft niet te wachten tot de ondernemer instemming vraagt voor een dermate ingrijpend besluit. Volgens Willis Towers Watson is bewustwording in de hele organisatie een belangrijke stap in de strijd tegen cybermisdaad. De ondernemingsraad is in een positie om het onderwerp op verschillende niveaus in de organisatie aan te kaarten.
“Het is algemeen bekend dat het menselijke element een risicofactor is bij inbreuken op de databeveiliging. Om het voorkomen van cyberrisico efficiënter te managen, moeten organisaties beter begrijpen hoe de verschillende elementen van hun personeelscultuur het werknemersgedrag beïnvloeden en uiteindelijk leiden tot meer of minder blootstelling aan cyberrisico”, zegt Adeola Adele, voor de Noord-Amerikaanse tak van Willis Towers Watson verantwoordelijk voor het cyberveiligheidsbeleid.
Vier stappen voor meer cyberveiligheid
Willis Towers Watson geeft vier tips voor meer cyberveiligheid in organisaties:
- Richt het cyberbeleid op de hele organisatie waarbij verschillende afdelingen zoals IT, HR, Juridische Zaken en Finance nauw samenwerken;
- Investeer in trainingen zodat alle werknemers ‘cybersmart’ worden;
- Technologie is niet dé oplossing voor cyberrisico’s, maar slechts een van de wapens die je inzet om datalekken en hacks te voorkomen;
- Evalueer de risico’s die je als organisatie loopt en neem waar mogelijk maatregelen om deze onschadelijk te maken. Sluit een verzekering af voor de risico’s die je niet op een andere manier kunt afdekken.
Opleiding Power OR digitaal
Tip! Wil je je digitale kennis en vaardigheden verder ontwikkelen, kom dan naar Power OR digitaal. In één dag alle tips en tricks om optimaal te werken met digitale tools!
Geef een antwoord