Ook raden van bestuur moeten digitale beveiliging en veilig communiceren ernstig nemen

Dit is artikel 8 in de reeks over het Forresterrapport over de digitale kloof in het bestuur.

Alarm!

Maar liefst zesenvijftig procent van de bestuurders en directiemedewerkers! Zoveel bedrijfsverantwoordelijken maken nog steeds gebruik van de persoonlijke e-mail om via de laptop, desktop of smartphone hun gevoelige bestuursinformatie te verzenden en te ontvangen. Zelfs in beleidsorganen die al een of andere software voor bestuursmanagement gebruiken bezigt 55% van de leden nog steeds persoonlijke e-mail voor bestuurlijke aangelegenheden. 41% van de beleidsorganen geeft intussen toe bezorgd te zijn over hun bekwaamheid om veilig te communiceren. Ze missen echter de nodige technologie om cyberaanvallen te stoppen of om aan de compliancevereisten te voldoen. Negenentwintig procent van de bedrijven gebruikt nog steeds papier voor administratief beheer.

Ook de cybercriminaliteitscijfers van het Belgische Centrum voor Cybersecurity van 2017 zijn angstwekkend: Er werd voor 4,5 miljard euro gestolen, dat is 1% van Belgisch BBP. Dagelijks vinden er in Europa 4.000 cyberaanvallen plaats en 80% van de Europese bedrijven en 66% van de Belgische bedrijven werden daar reeds slachtoffer van. 9% van de slachtoffers verloor hierbij meer dan € 10.000. Nooit eerder stond voor professionals zo veel op het spel.

Risico’s

87% van de beleidsorganen maken zich terecht ernstige zorgen over de veiligheid van hun communicatie. Toch is het slechts iets meer dan een derde van de raden van bestuur dat beveiligde communicatiekanalen in een afgeschermde omgeving gebruikt om veilig te communiceren. Een ruime meerderheid van raden van bestuur riskeert dus willens en wetens allerhande cyberaanvallen, privacyschendingen en onbedoelde datalekken.

De tegenstand is zwaar en moeilijk te traceren. Hackers en cybercriminelen lopen qua vakkennis altijd voorop en zijn constant en overal op zoek naar nieuwe instrumenten om die los te laten op de zwakste schakels. Ze viseren persoonsgegevens, adressenlijsten, bankrekeningen, paswoorden, klantendossiers, informatie over aanbestedingen… Nu de multinationals en ander grote groepen hun cyberveiligheid sterk hebben verhoogd na de vele virussen en aanvallen van de afgelopen jaren, richten cybercriminelen hun pijlen steeds vaker op kmo’s.

Het cyberrisico omvat niet alleen geblokkeerde infrastructuur en losgeld voor gestolen of geblokkeerde data, maar ook openbaarmaking van gevoelig materiaal en reputatieschade. Daarnaast vormen ook gestolen of ongewild zoekgeraakte apparaten een zeker beveiligingsprobleem. Bijna 30% van de bestuurders of directieleden meldde het afgelopen jaar een kwijtgeraakte telefoon, tablet of computer. 23% meldde daarnaast het verlies van papieren documenten.

Wie veelvuldig managementmateriaal over onderwerpen als fusies en overnames, ontslagen of juridische kwesties via persoonlijke e-mail verstuurt vormt een doelwit voor cybercriminelen. Persoonlijke e-mail is geen medium om veilig te communiceren. Ook belangrijke gegevens uit veilige databases gaan dan onversleuteld over de lijn. Je weet nooit helemaal zeker wie tijdens het transport meeleest, noch waar het document terecht kan komen. Ook interne netwerken en beveiligingsprocedures zijn soms zo op het gebruiksgemak ingericht dat de veiligheid er onder lijdt.
Elke bestuurder moet dan voortdurend zelf alles in het werk stellen om zijn e-mailverkeer en apparaten maximaal te beveiligen. Hij moet zijn computer dan regelmatig scannen en updaten om zichzelf te verdedigen tegen aanvallen en phishing mails. Hij moet bijvoorbeeld vermijden om openbare wifi te gebruiken of onbekende bestanden te downloaden.
Oplossing om veilig te communiceren

Beleidsorganen mogen voor de bescherming van gevoelige bestuurlijke materies tegen cyberaanvallen niet langer terugvallen op gebrekkige beveiligingsmethoden of verouderde werkwijzen. Dit risico kan eenvoudig verholpen worden door over te schakelen naar kanalen voor veilig communiceren. De kost en de nadelige gevolgen bij verlies van apparatuur of papieren documenten zijn dan veel kleiner. Bovendien is men dan minder afhankelijk van de persoonlijke ‘safety’-discipline van elke bestuurder. Met een geïntegreerde bestuurstechnologie krijgen bestuurders ook sneller een inzicht in de grootste risico’s. Deze bestuurders zullen hun eigen communicatie-aanpak dan ook gemakkelijker afstemmen op de houding van het bedrijf ten aanzien van cyberveiligheid. Vervolgens kunnen ze systematisch met het management samenwerken om de zwakke punten binnen de onderneming aan te pakken.

Die geïntegreerde technologie voor bestuursmanagement is alleszins nodig in crisissituaties. Bestuurders moeten zeker dan in staat zijn om onderling veilig te communiceren, online samen te werken en binnen de strikt vooropgestelde tijdslimieten te reageren. Denk bijvoorbeeld aan plotse pr-kwesties, juridische vraagstukken, aandeelhoudersactivisme, datalekken… Maar ook daarbuiten is deze technologie nuttig. Omdat raden van bestuur niet zo vaak bijeenkomen mag de beperkte vergadertijd absoluut niet verspild worden aan het overlopen van gedateerde informatie. Verslagen en andere vergaderdocumenten worden best zo kort mogelijk vooraf digitaal aangeleverd. Een veilige interne bedrijfscommunicatie van actuele rapporten stelt bestuurders in staat om beter en efficiënter met elkaar in contact te komen en samen te werken. Nog te veel vergadertijd gaat naar het passief ondergaan van powerpointpresentaties.

Conclusie over veilig communiceren

Alleen een strategische ingebruikname van Enterprise Governance Management (EGM) software stelt beleidsorganen in staat om de verschillende processen, procedures en informatie met betrekking tot vertrouwelijke bestuursactiviteiten te structureren, te vereenvoudigen en te beveiligen. In de verdediging tegen cyberaanvallen overklast EGM het persoonlijke e-mailverkeer op alle vlakken.

Ondertussen is er nog een lange weg te gaan vooraleer alle beleidsorganen zullen beschikken over complete digitale end-to-end capaciteiten. Maar juist omdat vennootschapsbestuur zo een gevoelige materie is moeten moeten alle ondernemingen op zoek naar software die het volledige bestuurlijke proces van begin tot eind kan managen. Een systeem dat tot ver buiten de vergaderruimte en buiten de vergadertijd blijft zorgen voor aansturing, samenwerking en maximale beveiliging is vandaag geen overbodige luxe meer.