Hield u rekening met Corona als mogelijk risico voor uw organisatie? Corona is bij uitstek een voorbeeld van een crisis die bij de meeste ondernemingen niet is opgenomen in de risicoanalyse. En als dat wel het geval was, dan bent u nu waarschijnlijk druk bezig met het produceren van mondkapjes.

Doemscenario’s

Vanuit ons vak voeren we vaak risicoanalyses uit met betrekking tot de informatiebeveiliging. Als wij extreme risico’s noemen, dan worden deze vaak lacherig weggewuifd. Dat komt in de praktijk toch nooit voor? Maar Corona is helaas een voorbeeld van het tegendeel. En we kennen er meer. Neem de lage rente van nu. Zeven jaar geleden sloten we nog een hypotheek van 4% af met de woorden: “Historisch laag, lager dan dit wordt het nooit!” En de extreme hitte van afgelopen zomer zorgde bij de zorgopvang met platte daken voor een serieus probleem.

Het denken in extreme scenario’s ligt niet echt in onze aard. Doe maar normaal, dan doen we al gek genoeg. Maar dit wordt wel steeds meer van ons verwacht. Zo vraagt De Nederlandsche Bank aan financiële fondsen om een integriteitrisicoanalyse uit te voeren met diverse scenario’s. En ook voor uw eigen organisatie is het belangrijk om goed te kijken naar bepaalde risicoscenario’s. Neem Corona als voorbeeld en denk verder aan andere uitzonderlijke omstandigheden.

Informatiebeveiliging in crisistijd

Uiteraard bent u in deze onzekere tijden niet als eerste bezig met informatiebeveiliging. Dat begrijpt iedereen. Maar als u in het bezit bent van een ISO 27001 certificaat, dan adviseren we u om toch even te kijken naar domein 17 van ISO 27002, ‘Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer’. Deze set van maatregelen is specifiek opgesteld voor het geval dat de continuïteit van uw organisatie wordt bedreigd en u drastische maatregelen moet nemen om de continuïteit te waarborgen.

Welke maatregelen voor informatiebeveiliging moeten tijdens een calamiteit overeind blijven en welke risico’s accepteert u? In theorie heeft u hier tijdens het certificeringstraject over nagedacht en misschien heeft u deze tijdens de Corona crisis zelfs al toegepast. Maar zelfs wanneer u hier in de praktijk geen aandacht aan besteedt, raden wij u toch aan om deze maatregelen nog eens tegen het licht te houden. Niet alleen voor nu maar ook voor als we straks weer in rustiger vaarwater zitten. De kans is groot dat certificerende instanties u dan vragen hoe uw bedrijf met deze calamiteit is omgegaan. Een mooiere testcase voor auditors kunnen we haast niet bedenken.

Leer van Corona!

Voor nu geven we u het volgende advies: Laat Corona in uw voordeel werken en werk die extreme scenario’s toch uit. En check dan ook direct de maatregelen uit domein 17 voor de informatiebeveiligingsaspecten van het bedrijfscontinuïteitsbeheer. Zo voorkomt u wellicht voor uzelf een nieuwe crisis!

Heeft u vragen over de risicoanalyse of hoe onze GRC tooling uw organisatie hierbij kan ondersteunen? Wilt u meer weten over de impact of de invulling van ISO27001? Wij helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.