Waarom doen bedrijven gèèn security testen? In de praktijk komt het regelmatig voor dat websites grondig getest worden maar security testen worden vergeten. Dat is vreemd.  Directies en bestuurders zijn zich gelukkig steeds meer bewust dat cybercrime een bedrijfsrisico vormt en kan leiden tot hoofdelijke aansprakelijkheid.

Besturing – controleren van processen

Voordat data via een webapplicatie of webservice via het internet beschikbaar wordt gesteld, moet een gedegen test traject gevolgd worden. Dit geldt ook voor grote veranderingen (changes) en configuratie instellingen in productie. In het ontwikkel- en/of veranderproces moet een onafhankelijke security test een vast onderdeel zijn, om vast te stellen dat er geen grote kwetsbaarheden in voorkomen.  En dus passend beveiligd is.

Wetgeving – passend beveiligd

Privacy Wetgeving in Nederland eist dat organisaties hun data passend beveiligen. Een website waarin persoonsgegevens zijn opgeslagen, mag daarom geen grote kwetsbaarheden vertonen. Bij een hack of datalek zal een Autoriteit Persoonsgegevens (AP) dit als niet passend beveiligd bestempelen op straffe van een hoge boete (820.000 per incident). Deze boete kan ook opgelegd worden als het datalek niet binnen 72 uur is gemeld bij AP en/of slachtoffers niet tijdig geïnformeerd worden. De melding moet dus ook gebeuren als werkelijk misbruik van data niet is uit te sluiten.

Risico – beveiligingsmaatregelen zijn op maat

Een website met algemene bedrijfsinformatie kent minder grote risico dan een website met een database waar alle Nederlanders in geregistreerd staan, de gehele financiële administratie (bv Exact, ERP) bevat of alle toegangsrechten van het bedrijf zijn opgeslagen. Afhankelijk van het risico wil je extra beheersmaatregelen nemen.

Organisaties die het contract sluiten met de klant zijn eindverantwoordelijk voor datalekken bij leveranciers in de keten. Bij ‘ passend beveiligd’ behoort dus ook ketenregie over alle betrokken leveranciers. Een plugin op een website om feedback van klanten te vergaren, bevat persoonsgegevens en ogenschijnlijk eenvoudige diensten, kunnen met een datalek grote gevolgen hebben als het gaat om ketenaansprakelijkheid.