Kan jou besigheid ‘n kuberaanval bekostig?
New requirements for section 18A receipts issued by public benefit organisations
April 11, 2023Nuwe belastingverslagdoeningsvereistes vir trusts
April 11, 2023
Francois Kriel is ’n gerespekteerde IMCSA-gesertifiseerde bestuurskonsultant wie spesialiseer in veranderingsbestuur, databeskerming en digitale transformasie. Hy is ‘n direkteur by Kriel & Co, ‘n konsultasiefirma wat verskeie organisasies – insluitend ASL – ondersteun met die nakoming van dataprivaatheid en veranderingsbestuur in kuberveiligheid.
Besighede in Suid-Afrika trotseer tans ‘n besigheidsomgewing met aansienlik verhoogde risiko’s – of dit nou voortdurende kragonderbrekings, voorsieningskettinguitdagings of die behoud van personeel is. Bo en behalwe al die risiko’s wat besigheidseienaars en uitvoerende bestuur voor moet beplan, is die oorgrote meerderheid nie goed geposisioneer om ‘n kuberveiligheidsrisiko of -aanval suksesvol te hanteer nie.
‘n Mens hoef net die koste van ‘n data-oortreding te oorweeg om hierdie baie werklike en duur bedreiging ernstig op te neem. Volgens ITWeb kos ‘n data-oortreding Suid-Afrikaanse ondernemings R46 miljoen per voorval – en dié jongste syfers is die hoogste in ses jaar, en 15% meer as in onlangse jare.
Dieselfde verslag het bevind dat besighede wat ‘n data-oortreding in minder as 200 dae kon bekamp (37 dae minder as die gemiddelde aantal dae) R7 miljoen bespaar het deur vinniger te reageer. Aan die ander kant beklemtoon die verslag ook die geleentheid om voorbereiding te prioritiseer om kuberveiligheidsrisiko’s en ander risiko’s te bestuur terwyl u steeds die luukse het om dit te doen.
Risikobestuur behels meer as net ‘n stel nakomingsvereistes
Met die ontwikkeling van enige strategie, is dit raadsaam om te weet waarom ‘n spesifieke strategie om verandering te navigeer, nodig is. Robert Kaplan en Anette Mikes vat die essensie van risikobestuur baie goed saam in die Harvard Business Review:
“…risk management is too often treated as a compliance issue that can be solved by drawing up lots of rules and making sure that all employees follow them. Many such rules, of course, are sensible and do reduce some risks that could severely damage a company. But rules-based risk management will not diminish either the likelihood or the impact of a disaster…”
Dit is een ding om beleide op te stel, gebeurlikheidsplanne te skep en regmerkies te maak teenoor nakominsvereistes. Dit is ‘n ander ding om werklik tyd te belê in die oorweging van moontlike risiko’s op grond van hul waarskynlikheid en impak met die doel om ‘n proaktiewe benadering voor te berei.
Die eintlike vraag is egter waarom proaktiewe voorbereiding nou belangriker is as ooit tevore. Eenvoudig gestel, Suid-Afrika is ‘n besonder kwesbare land wat kuberrisiko betref. Bestaande kuberveiligheidsgapings is uitgelig toe baie besighede ‘n hibriede werkbenadering begin oorweeg het.
Konsultante in veranderingsbestuur is bewus daarvan dat praatjies oor en voorbereiding vir potensiële risikovoorvalle tipies gepaard gaan met ongemak en angs. Sommige bestuurders verkies om hul koppe in die sand te steek en glo “dit sal nooit by ons maatskappy gebeur nie. Ons is ‘n fort”. Tog is die noodsaaklikheid van ‘n goed uiteengesette risikobestuurstrategie nou meer relevant as ooit tevore. ‘n Goed ingeoefende plan sal uiteindelik die bloudruk verskaf om te volg wanneer dit tyd is om aksie te neem.
Inkorporeer risikobestuur in jou besigheidstrategie
Om die algemeen bekende risikobestuurstrategieë van vermyding, impakbestuur, aanvaarding en oordrag te volg is ‘n goeie manier om kuberrisiko’s te benader. Hierdie raamwerk is geensins volledig nie, maar is ‘n goeie beginpunt vir besighede om te oorweeg en op uit te brei.
Hieronder volg ‘n uiteensetting hoe die vier algemene strategieë gekombineer kan word om die verskillende aspekte van dataprivaatheid en gepaardgaande kuberrisiko’s te bestuur:
| Strategie | Praktiese plementering | Verwagte Uitkoms | Voorbeelde |
| Vermyding | Doen agtergrond- en omsigtigheids- ondersoeke om te verseker dat stelsels en prosesse veilig is. |
Identifiseer en elimineer (indien moontlik) potensiële bedreigings of kwesbaarhede wat bestaan deur operateurs (bv. Derdepartydiens- verskaffers) wat substandaard praktyke in dataprivaatheid en kuberveiligheid volg. |
• Hersiene diensverskaffer- ooreenkomste. • Nie-openbaar- makingsooreen- komste. • Gereelde oorsigte van diensverskaffers. |
| Impakbestuur | ‘n Risikoreaksieplan stel alle personeel in die maatskappy in staat om toepaslik op risikogebeure te reageer. |
Lig personeel deeglik in watter prosesse om te volg en wie om in elke situasie te kontak om sodoende die impak van die risiko te verminder. |
• Risikoreaksie- plan gekategori- seer volgens risikograderings en die erns daar- van. • Risiko- reaksieplan moet sentraal gestoor word en maklik bereik- baar wees vir almal in die maatskappy. |
| Aanvaarding | Gereelde stelsel- en prosesstrestoetse met werknemers en belanghebbendes. | Vaslegging van optrede in uit- voering van die risikoreaksieplan. Dit is ook ‘n geleentheid om enige leemtes in die reaksieproses te identifiseer, aan te spreek en vas te lê. |
• Strestoetse in die hantering van anonieme versoeke vir per- soonlike inligting. • Strestoetse in kuberveiligheids- gebeure. |
| Oordrag |
Voldoende versekeringsdekking vir die risiko- gebeurtenisse wat op die maatskappy van toepassing is. |
Die geleentheid om regsadviseurs te betrek by oorweging van insluitings en tekortkominge vir versekerings- doeleindes. |
• Hersiening van bestaande versekerings- polisskedules en polisbewoording om leemtes in dekking te identifiseer. |
Voorkoming is beter as genesing
Deur die aspekte van risikobestuur strategies en proaktief te kombineer, kan die besigheid ‘n beplande, en indien nodig, gefaseerde benadering volg om risikobestuursmaatreëls in plek te stel. ‘n Proaktiewe benadering gee personeel genoeg tyd om in te koop in nuwe beleide, vertroud te raak met stelselveranderings en strestoetse op hierdie beleide en stelsels uit te voer.
Vanselfsprekend is daar geen een-grootte-pas-almal benadering tot effektiewe risikobestuur nie. Daar is egter verskillende benaderings wat gevolg kan word wat, indien dit in kombinasie gebruik word, ‘n pasgemaakte plan skep wat geskik is vir jou besigheid se unieke potensiële uitdagings, soos kuberveiligheidsbedreigings.
Proaktiewe risikobestuursbeplanning kan onnodige stres in besighede voorkom. Gevolglik kan bestuur fokus op die groei van of werk aan die besigheid en bied aan personeel die geleentheid om hulself vertroud te maak met die neem van eienaarskap van dataprivaatheid en risikovoorkoming.
