PERSINFORMATIE
Amsterdam, 26 september 2022
- Cyberaanvallen kunnen zelfs hele bedrijfskolommen verzwakken
- Cyberbeveiliging is bescherming van digital assets, niet slechts een kostenpost
- Van een bestuur wordt verwacht meer te doen dan slechts de regels te volgen
In een online ronde tafel discussie met vier internationale experts1), georganiseerd door Diligent, aanbieder van governance platforms, werd gesteld dat de bewustwording rond cyberbeveiliging in de boardrooms is gestegen. Risicomanagement en risicobeperking staan op de agenda, maar nog niet alle bedrijven doen wat echt nodig is.
Want digitale weerbaarheid is van groot economisch belang, en heeft niet alleen consequenties voor het bedrijf dat aangevallen is, maar ook voor allerlei bedrijven die daarmee zaken doen. Denk maar eens aan het gijzelen van een groot internationaal transportbedrijf, waarbij een hele aanvoerketen platgelegd kan worden.
Regels zijn nodig
De EU heeft het goed gezien dat een goede strategie voor cybersecurity verder gaat dan alleen regels op bedrijfsniveau. Het bestuur moet niet slechts ‘compliant’ zijn; ze moeten de risico’s goed inschatten en kunnen overzien wat consequenties zijn. Security experts zijn daarbij essentieel.
Zijn regels alleen nodig als bedrijven hun huiswerk niet goed doen? Nee. In 2014 werd het in de VS per wet verplicht om een cybersecurity-plan te hebben. Hoe ze dit inhoudelijk regelen moeten bedrijven zelf weten. Maar zonder regels doen bedrijven alleen het allernoodzakelijkste. Dus regels zijn nodig en zorgen ervoor dat bedrijven de lat hoger leggen. Helaas loopt wetgeving vaak (5 jaar) achter op wat er werkelijk nodig is om cyberaanvallen het hoofd te kunnen bieden.
Cyberbeveiliging niet langer slechts een kostenpost
IT en zeker cyberbeveiliging was heel lang slechts een kostenpost, terwijl tegenwoordig sprake is van ‘return-on-investment’, die de bescherming van de digital assets oplevert.
In Frankrijk is het sinds kort niet langer strafbaar om in geval van ransome-ware de afperser te betalen. Er is een andere kijk gekomen op wie er schuld heeft c.q. tekort geschoten is ter voorkoming van dergelijke acties. Het bestuur moet ook vooraf nadenken over de consequenties van eventuele gijzeling, hoe deze te voorkomen, hoe schade te beperken, kortom, hoe te handelen.
Het bestuur moet begrijpen dat risicomanagement geld kost en waarom. Omdat alles risico’s met zich meebrengt moet het bestuur bepalen welk risiconiveau acceptabel is, tegen welke kosten. Dat is een van de redenen dat het bestuur de laatste tijd veel meer betrokken raakt bij cybersecurity, zoals issues over ransome-ware, wat zijn de kroonjuwelen van de organisatie, hoe beveiligen we die, wat moet er worden verzekerd? Het bestuur moet grenzen duidelijker stellen en dat niet meer overlaten aan IT-afdelingen.
Het is belangrijk dat procedures op papier gezet worden, zodat duidelijk is wat er moet gebeuren als er een ransome-incident of een ander cyber security-incident plaatsvindt. Ook verzekeringsmaatschappijen vragen steeds vaker inzage in de procedures en duwen organisaties daarmee de goede kant op.
‘Bestuurs’-taal
Veel organisaties zijn onvoldoende voorbereid omdat het ontbreekt aan kennis in de board. Dat maakt zo’n onderwerp ook niet echt geliefd. Wie spreekt er nu graag over onderwerpen waar je onzeker over bent en geen grip op hebt. Daarom zou het goed zijn als er iemand in het bestuur de technische informatie kan vertalen in ‘bestuurs-taal’. Iemand die ook cyber-topics naar voren brengt in de bestuurskamer. Want aan de top van een organisatie wordt de toon gezet voor de rest van het bedrijf; daar vandaan volgt bewustwording op lagere niveaus. Uit alle beschikbare gegevens zal dat bestuurslid dan precies datgene filteren dat voor de rest van het bestuur van belang is. Het bestuur bestaat nu eenmaal niet uit IT-specialisten.
1) De vier deelnemers aan deze ronde tafel waren:
- Christophe Bianco, managing partner Excellium Services
- Dimitri Chicklo, non-executive director & Vice-chairman van de Ukreximbank
- Ariel Evans, CEO & Co-founder RiskQ
- Henry Jiang, Chief Information Security Officer Diligent
Het webinar is te bekijken via onderstaande link: https://learn.diligent.com/Cybersecurity_and_Geopolitics_EMEA_TY.html
Over Diligent
Diligent is wereldleider op het gebied van modern bestuur en biedt SaaS-oplossingen voor governance, risk, compliance, audit en ESG. Ze bedienen meer dan 1 miljoen gebruikers bij meer dan 25.000 klanten over de hele wereld en voorzien transformationele leiders van software, inzichten en vertrouwen om meer impact te maken en doelgericht te leiden.
Ga voor meer informatie over de technologie en de manier van werken van Diligent naar Diligent en LinkedIn, Instagram