Waarom cybersecurity op de bestuursagenda moet blijven staan

Slaat u ’s morgens de krant open? Of opent u uw mailbox? Dan leest u over bedrijven die worden geconfronteerd met imagoschade en koersdalingen door een datalek. U krijgt ook de boodschap dat GDPR bedrijven dwingt om hun veiligheidsbeleid te hertekenen. Het lijdt dus geen twijfel: cybersecurity is een van dé topics dat vandaag de dag op de bestuursagenda moet staan.

Hoewel het besef dat cybersecurity een cruciaal ondewerp is dus toeneemt, ontbreekt nog te vaak de sense of urgency. Want voor heel wat bestuursleden is informatietechnologie nog onbekend terrein. Bovendien onderschatten ze vaak hun eigen rol op het vlak van de bescherming van persoonlijke gegevens. Zo stellen ze hun bedrijven en zichzelf bloot aan zware risico’s.

Data onder voortdurende dreiging

Een willekeurige greep uit het nieuws van de voorbije maanden:

• Een tweedejaarsinformaticastudent had maar vier minuten nodig om de patiënteninformatie van vijf tandartspraktijken te kraken.
• De brieven aan de deelnemers van het televisieprogramma Boer zoekt Vrouw stonden een half jaar lang open en bloot online.
• De Facebook-gegevens van 87 miljoen mensen lagen op straat door een datalek bij Cambridge Analytica.

Wat valt daarbij op? Zowat elke onderneming – van eenmansbedrijf tot multinational – kan het slachtoffer worden van een datalek. Met een tsunami aan negatieve publiciteit tot gevolg.

En dan begint al snel de zoektocht naar wie daarvoor persoonlijk verantwoordelijk is. Na een datalek bij Uber in 2016 moesten drie leidinggevenden zonder pardon opstappen.

Strengere beveiligingsregels

Ook de overheid verhoogt de druk op bedrijven om databeveiliging ernstig te nemen. Sinds 25 mei 2018 is de Europese verordening rond gegevensbescherming (AVG of GDPR) van kracht. Die houdt onder meer dit in:

• Onderneming die systematisch persoonlijke data verwerken, moeten een data protection officer aanstellen
• Bedrijven moeten alle mogelijke organisatorische en technische maatregelen treffen om de veiligheid van persoonlijke data te verzekeren.

De heisa – bijna paniekstemming – rond GDPR doet denken aan die rond de millenniumbug in de aanloop naar het jaar 2000 (of Y2K). Nochtans stonden heel wat van die ‘nieuwe’ richtlijnen al jaren in nationale en Europese privacywetgevingen.

Wat wél nieuw is? De geduchte straffen die GDPR voorziet voor bedrijven die er niet in slagen om die privacyregels te volgen. De boetes lopen op tot 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet – waarbij het hoogste bedrag van de twee telt. Nog een reden om cybersecurity op de bestuursagenda te houden, dus.

Van passieve naar actieve controle

Wat moeten bestuurders doen om te vermijden dat ze worden meegesleurd in een schandaal rond cyberbeveiliging? Hun eerste reactie is vaak: het IT-team versterken en een chief information security officer (CISO) aanduiden – als die er nog niet was.

Verstandig, maar niet voldoende. Want bestuurders kunnen het zich niet permitteren om blind te vertrouwen op de expertise van anderen. Kunt u het zich bijvoorbeeld voorstellen dat een bestuurslid geen enkele financiële of juridische kennis zou hebben?

Toegegeven, voor datasecurity ligt dat moeilijker. Onder bestuursleden zijn digital natives voorlopig zeldzaam. En IT-kennis is bijna nooit een selectiecriterium bij de samenstelling van een bestuursorgaan.

Dat vraagt om een inhaalbeweging. Waarbij bestuurders zich niet langer beperken tot een observerende rol, maar zich actief bezighouden met databeveiliging – óók met de technische aspecten daarvan. Alleen dan kunnen ze hun controlerende taak ten volle opnemen. En staan ze sterk in hun schoenen als er zich toch een datalek voordoet.

Bestuursleden met IT-specialisatie?

Betekent het dat alle bestuursleden ook IT-specialisten moeten zijn? Zeker niet. Belangrijk is vooral dat ze weten welke vragen ze moeten stellen aan hun CISO om écht de gezondheid van hun securitybeleid in te schatten. Zoals:

• Welke medewerkers hebben toegang tot welke data? En hoe controleren we dat?
• Is onze gevoelige data geëncrypteerd? Zo ja, met welke technologie?
• Wat is onze procedure bij een veiligheidsincident?
• Slagen we bedrijfsgegevens op bij externe cloudpartners? Zo ja, wat is hun policy rond privacy en security?
• Hoe gaan we om met werknemers die hun persoonlijke mobiele toestel gebruiken voor werkdoeleinden?

De bestuursleden verdienen concrete antwoorden op die vragen – technisch onderbouwd, maar in mensentaal. Alleen zo zijn ze gerust over de databeveiliging in hun onderneming.

Risicogedrag

Gegevensbeveiliging is dus niet louter een zorg van het IT-departement, maar van de hele organisatie – te beginnen bij de top. Want bestuursleden gaan zélf vaak laks om met de hoogst gevoelige bedrijfsgegevens.

De grootste boosdoener? E-mail. Zo gebruikt 92 procent van de bestuurders zijn (minder goed beveiligde) persoonlijke e-mailaccount voor zakelijke communicatie. Ook bleek dat 43 procent van de Nederlandse CEO’s met zijn zakelijke e-mailadres inlogde bij een dienst die later werd gehackt. Gevolg: het wachtwoord – vaak hetzelfde als voor het e-mailaccount zelf – kon gewoon van het net worden geplukt.

Bestuurders laten zich verleiden tot dat soort risico’s omdat ze op zoek zijn naar efficiëntie en gebruiksgemak. Hun persoonlijke e-mailprovider (zoals Gmail) is vaak veel gemakkelijker te raadplegen via verschillende platformen. En niemand heeft zin om voortdurend verschillende accounts te checken en talloze wachtwoorden te beheren. Dit brengt cybersecurity ernstig in gevaar.

E-mail naar de prullenmand

De oplossing? E-mail schrappen als bedrijfsinterne communicatietool op het hoogste niveau. En vervangen door een gespecialiseerde messagingtool. Die biedt extra beveiliging dankzij onder andere:

• krachtige encryptie
• back-up en hosting van berichten en documenten op beveiligde servers
• mogelijkheid tot snelle wipe van alle gegevens als een toestel zoekraakt

Al die extra veiligheidsfuncties gaan níét ten koste van gebruiksgemak. De tools bieden net een intuïtieve gebruikservaring op alle devices. En maken samenwerking op het hoogste niveau eenvoudiger dankzij bijvoorbeeld vooraf ingestelde discussiegroepen en integratie met andere software voor board management. Zie hiervoor bijvoorbeeld Messenger van Diligent.

Geen last maar een kans

Bestuursleden zijn verantwoordelijk voor het langetermijnsucces van hun onderneming. Daarin is cybersecurity een essentiële factor die op de bestuursagenda moet staan en blijven staan. Die kunnen ze niet volledig overlaten aan ‘specialisten’. Ze moeten het heft in handen nemen én het goede voorbeeld geven.

Betekent dat een extra last voor hun nu al overladen takenpakket? Integendeel. Het is een kans om over te stappen naar een veiliger én efficiënter systeem voor Enterprise Governance Management: informatie beheren en zo succesvolle en duurzame bestuursresultaten neerzetten. En dat met behulp van technologische middelen zoals beveiligde tools voor veilig communiceren, nauwgezet notuleren, transparant evalueren, enzovoort.

Klaar om zelf die stap te zetten? Vraag een demo aan en maak kennis met Governance Cloud, het geheel van tools voor goed bestuur van Diligent.