IT-Security risico’s voorkomen en verzekeren

We weten allemaal: zonder IT kun je niet werken. De beschikbaarheid van data is cruciaal voor de continuïteit van vrijwel elk bedrijfsproces. Wat kun je nog als je IT-systeem plat ligt en data niet langer benaderbaar zijn? Duurt dit kort, dan is het vooral vervelend en onhandig. Maar als deze uitval langer aanhoudt, ontstaat al snel serieuze schade, bijvoorbeeld omdat je jouw klanten niet kunt bedienen. Juist daarom is aandacht voor IT-security belangrijk. Welke maatregelen moet je nemen voor een veilig IT-systeem? En waarop moet je letten bij het afsluiten van een IT- verzekering of cyberverzekering?

Draag allereerst zorg voor goede IT-security

Welke IT-verzekering of cyberverzekering je ook afsluit, in vrijwel alle polisvoorwaarden staat dat je ‘redelijke voorzorgsmaatregelen’ moet treffen om schade te beperken of te voorkomen. Maar wat zijn redelijke voorzorgsmaatregelen? Uit de polisvoorwaarden blijkt dat deze niet altijd even concreet zijn. Neem bijvoorbeeld het punt dat je moet zorgen voor goede cybersecurity. Daarvoor kun je het best aansluiting zoeken bij ISO 27001. Dat is de ISO-standaard voor informatiebeveiliging.

Wat als zich een IT-incident voordoet?

Als een IT-incident zich voordoet, dien je de schade zo goed mogelijk te beperken, rekening houdend met doelmatigheid en de kosten. Sommige verzekeraars bieden directe hulp aan, maar vaak moet je zelf passende maatregelen nemen. Een goede IT-dienstverlener adviseert je over de juiste voorzorgsmaatregelen en onderneemt de juiste actie als er onverhoopt iets misgaat. Daarbij is een goede samenwerking tussen de IT-dienstverlener en de verzekeraar belangrijk. Ze hebben er bovendien beiden baat bij om jouw bedrijf zo snel en zo goed mogelijk weer operationeel te krijgen. Het is om die reden raadzaam om te kiezen voor een IT-dienstverlener en een verzekeraar die de meerwaarde van samenwerking zien. Solviteers is zo’n IT-dienstverlener.

De juiste cybersecurity verzekering

Het kiezen van de juiste IT-verzekering of cyberverzekering is lastig. De polisvoorwaarden van de diverse verzekeraars verschillen. Ons advies? Let, naast de premie, tenminste op de volgende zaken:

• De wachttijd bij het aangaan van een verzekering en het aanvangsmoment van de wachttijd;
• De dekkingsperiode van bedrijfsschade - dit varieert van 90 tot 365 dagen;
• Hoe de schade wordt vastgesteld: op basis van brutowinst, nettowinst, exploitatiekosten of op basis van redelijkheid?
• Welke ondersteuning biedt de verzekeraar bij een (vermoeden) van een incident;
• Welke IT-incidenten worden gedekt?

Service Level Agreement (SLA)

De IT-dienstverlener kan met een security-audit de IT-security risico's in kaart brengen. Met het advies dat daaruit voortvloeit, kun je de nodige IT beveiligingsmaatregelen (laten) treffen. Daarmee kun je aantonen dat je een voldoende veilig IT-systeem hebt. Om dit niveau vervolgens te handhaven is planmatig IT-beheer en onderhoud noodzakelijk. Ontstaat er onverhoopt toch een IT-incident? Dan zijn er verschillende Service Level Agreements (SLA’s) waarop je kunt terugvallen. Steeds vaker zien we SLA’s, waarbij je ook buiten kantoortijden snel en vakkundig wordt geholpen.

Beperk de IT-risico’s

Ook hier geldt: beter voorkomen dan genezen. Alle risico’s volledig uitsluiten is bijna onmogelijk, maar je kunt veel ellende voorkomen door a) te werken met een goed en veilig ingericht IT-systeem, b) een security-audit uit te laten voeren en c) de juiste IT-dienstverlener en verzekeraar. Dan kun je, in geval van een incident, vertrouwen op deskundige dienstverleners die je optimaal ondersteunen.