Nederlands | Français Belgium

Hoe maak je cyberrisico’s een strategisch agendapunt op de raad van bestuur?

Tips en stappenplan voor een goed onderbouwde business case

Januari 2017 was een bewogen maand voor Yahoo, de Amerikaanse multinational bekend van de portaalsite en zoekmachine. Nadat eind vorig jaar mega datalekken uit 2013 en 2014 aan het licht kwamen, opende de Securities & Exchange Commission in januari een onderzoek naar de handel en wandel van het bedrijf (de focus ligt op de timing van de melding net na de aankondiging van een overnamebod). Daarenboven stuurt een individuele aandeelhouder aan op een class action (een groepsvordering) en eist een schadevergoeding ten gevolge beide incidenten, de laattijdige kennisgeving en het eventuele mislukken van het overnamebod.

Ook middelgrote en zelfs kleine bedrijven blijven niet onder de radar. Unizo krijgt wekelijks (meerdere) meldingen van cybercrimegevallen. Belgische nieuwssites en Nederlandse ziekenhuizen werden in 2016 nog slachtoffer van cyberaanvallen. Ook de Belgische regering en de Europese Commissie ontsnapten niet aan hackersaanvallen.

Eens te meer blijkt dat cyberrisico’s deel uitmaken van de reële en bijna tastbare bedreigingen waar elk bedrijf mogelijks mee in aanraking komt en dat de gevolgen heel breed kunnen zijn: reputatieschade, juridische vervolging, herstelkosten, enz. Net zoals de brand- en aansprakelijkheidsverzekering, bevat elke standaard verzekeringsportefeuille best ook een cyberrisicoverzekering.

Nog duidelijker is de vaststelling dat cyberrisico’s een bedreiging vormen voor elk departement en bedrijfsproces. Het volstaat niet meer (vertrouwelijke) gegevens in databanken te beschermen. Hackers kunnen uw dagelijkse werking (productielijn, modaliteiten voor medische beeldvorming of beheerssystemen) van op afstand stilleggen. Cyberterroristen kunnen de bevoorrading door leveranciers in gevaar brengen of uw e-commerce verkoopkanalen dagen platleggen. Elk cruciaal bedrijfsproces hangt op een of andere manier steeds van technologie af, en deze is dan weer op een of andere manier met het internet verbonden (Internet of Things).

De tijd dat cyberrisico’s onder de verantwoordelijkheid van IT vielen is voorbij. Raden van bestuur worden uitgedaagd om deze risico’s te onderkennen en zich te (laten) informeren over het profiel en de onderlinge verbondenheid van cyberrisico’s in hun onderneming. Voor de meeste bedrijven is het geen kwestie van of, maar eerder wanneer ze het slachtoffer van een cyberincident worden. Verzaken aan deze informatieopdracht zou vandaag beschouwd kunnen worden als het onvoldoende vervullen van de taken van de Raad van Bestuur.

Organisaties die hun cyberrisico’s begrijpen en in kaart brengen, de mogelijke incidenten of financiële impact correct inschatten en een duidelijk overzicht bewaren over het risk management vergroten hun concurrentiële voorsprong. Deze opdracht vraagt een multidisciplinaire aanpak. Hier ligt een belangrijke opportuniteit voor de risk manager die proactief tewerk gaat en de vragen van de board beantwoordt nog voor ze gesteld worden.

“Cyberverzekeringsoplossingen zijn vrijwel even flexibel als de technologie die de risico’s met zich meebrengt. Maatwerk kan onderhandeld worden. Na een onderbouwde scenario-analyse en met voldoende risico-informatie kan uw verzekeringsmakelaar aan de slag om een innovatieve oplossing voor te stellen.”
Raf Duyver, Cyber Risk Expert Advisor, Aon Belgium

Als trusted advisor reikt Aon risk managers tools aan om dit topic te managen binnen zijn of haar organisatie. Met dit vierstappenplan stelt u een sterke business case samen, die elke raad van bestuur zal overtuigen.

Stap 1: Multidisciplinaire risicoanalyse
Begrijp de belangrijkste risico’s binnen de organisatie en breng ze in kaart. Ga hiervoor aan de slag met collega’s van IT, Legal en HR en betrek ook uw verzekeringsmakelaar in deze analyse. Start door een lijst op te stellen van cyberscenario’s en vraag aan de belangrijkste betrokken departementen zoals IT, legal, HR en zelfs media relations om hetzelfde te doen. Bespreek samen de scenario’s en maak een inschatting van de mogelijke financiële gevolgen voor de onderneming. Dit maakt het mogelijk de risico’s en potentiële schadescenario’s een bepaalde prioriteit toe te kennen. Kijk ook naar de risicobereidheid en het financiële draagvermogen van uw organisatie.

Stap 2: Verzekerbaarheid van geïdentificeerde risico’s
Op basis van de voorgaande stap ga je nu na hoe groot de verzekerbaarheid van de geïdentificeerde cyberrisico’s binnen huidige en mogelijk toekomstige verzekeringen is. Werk hiervoor samen met je verzekeringsmakelaar.

  • Bekijk of bepaalde scenario’s deel uitmaken van lopende verzekeringscontracten.
  • Bekijk of deze risico’s uberhaupt verzekerbaar zijn en of de verzekeringspolis de risico’s dermate duidelijk omschrijft dat ze onder de dekking vallen. Let op voor dubbelzinnige of ‘stille’ polissen. Veronderstellen dat scenario’s onder de dekkingsperimeter vallen omdat ze niet letterlijk worden uitgesloten kan gevaarlijk zijn.
  • Let op voor nieuwe uitsluitingen of ‘verduidelijkingen’ in nieuwe polisvoorwaarden aangeboden door verzekeraars bij hernieuwing van verzekeringscontracten.
  • Herbekijk de informatie- en communicatiekanalen met verzekeraars. Verzekeraars worden meer en meer geconfronteerd met cybergerelateerde schadegevallen en verwijzen steeds vaker naar de ‘geest’ van de polis. Ze voeren hierbij aan dat ze nooit de adequate risico-informatie hebben ontvangen waardoor deze types niet onder de verzekeringswaarborgen kunnen vallen.

Stap 3: Preventiemaatregelen
Identificeer alternatieve opties voor onverzekerbare risico’s. Zowel technische ingrepen als cultuur- en gedragsverandering kunnen ervoor zorgen dat een bepaald risico of scenario uitgesloten wordt. Training, bewustmakingssessies of een betere toegangscontrole hebben al vaak hun nut bewezen.

Stap 4: Concreet actieplan
Stel voor elk risico/scenario concrete actiepunten op en verzamel deze in een sterk actieplan. Voor elk scenario behandel je volgende topics:

  • Is het risico behandeld, afgenomen, overgedragen of vermeden?
  • Wat is de geschatte financiële impact van het scenario en de delta tussen verzekeringswaarborgen?
  • Welke zijn de volgende stappen? Extra beveiliging, adequate monitoring, bijkomende verzekeringsdekking afsluiten of meer gedetailleerde studie van het scenario om de juiste beslissing te kunnen nemen?