Netherlands

Cyber in de bestuurskamer: ieder teamlid zijn rol

 

Zijn WannaCry, NotPetya en Bad Rabbit nog nieuwe namen voor u? De kans is klein, want hacks, virusnamen en ransomware zoals deze zijn constant in het nieuws. Met onze gewenning aan cyberdreigingen groeit ook het gevaar van laksheid, terwijl cyberrisicomanagement juist alertheid vergt. Iedere bestuurder en manager heeft daarin zijn eigen, specifieke rol.

Niet alleen onze gewenning, maar ook harde cijfers tonen aan hoezeer cyberincidenten tegenwoordig gemeengoed zijn. Zo blijkt uit het Aon 2018 Predictions rapport dat de financiële schade als gevolg van cyberaanvallen wereldwijd toeneemt. Steeds vaker is een datalek het startschot voor vertrekkende bestuurders en dalende beurskoersen, zeker als uit onderzoek nalatig handelen blijkt. Zo draaien ook controlerende instanties de duimschroeven aan.

Door de breedte waarin hacks en datalekken organisaties kunnen raken, is cyberveiligheid al lang niet meer alleen een IT-kwestie. Het is een ondernemingsrisico. Permanente alertheid is een harde vereiste, van uitvoerend personeel tot aan bestuur. Al vóór een incident moet elke afdeling zijn rol en die van andere kennen. Cruciaal is dat bestuurders niet alleen hun eigen domein in het oog houden, maar ook de organisatie als geheel.

Taken verdelen
Idealiter zijn de taken ten aanzien van ‘cyber’ binnen een organisatie als volgt verdeeld:

  • Chief information security officer (CISO), chief technology officer (CTO) en chief information officer (CIO): werken samen aan het identificeren van kwetsbare plekken en de aanpak ervan. Cruciaal is dat ze niet alleen de infrastructuur voor alle informatie en technologie in hun organisatie regelen, maar ook waken voor de bescherming ervan. Met name de CISO moet binnen elk afdeling op het hoogste niveau betrokken zijn bij ‘grote’ besluiten, aangezien bij elke verandering in de organisatie een nieuwe kwetsbaarheid kan ontstaan. Omgekeerd is het aan de CISO om ervoor te zorgen dat vooral risicomanagers en financieel verantwoordelijken de kwetsbaarheden kennen en weten welke (technische) oplossingen daarvoor zijn.
  • Chief compliance officer (CCO) en hoofd juridische zaken: verantwoordelijk voor het voldoen aan data- en privacywetgeving, ook met het oog op rechtszaken achteraf. Hij of zij werkt ook samen met de afdelingen IT en informatieveiligheid om te weten welke technische beschermingsmaatregelen er zijn – niet alleen met het oog op data, maar ook voor het voldoen aan wetgeving wereldwijd.
  • Hoofd HR: spitst zich toe op het trainen van medewerkers en het werven van talent om als organisatie ‘cyberproof’ te blijven. Aangezien datalekken meestal ontstaan door fouten van eigen personeel, is het begrijpen van gedrag een steeds hogere prioriteit voor het hoofd HR.
  • Hoofd marketing en (hoofd) communicatie: hij of zij is het eerste aanspreekpunt en het gezicht van de organisatie voorafgaand aan, tijdens en na een cyberincident. Ook intern vervult het hoofd marketing en/of communicatie een sleutelrol bij een cybercrisis. Hij of zij coördineert ook de communicatie na afloop en bewaakt daarmee de reputatie van het bedrijf.
  • Bestuurders: meer en meer degenen die cyberrisico op de organisatieagenda zetten en houden, niet in de laatste plaats omdat ze er hoofdelijk verantwoordelijk voor zijn.

Ieder zijn rol dus, mét oog voor het geheel. Maar hoe mooi dat ook gezegd of schriftelijk bepaald is, gedaan is het niet een-twee-drie. Zo blijkt uit het Global Cyber Risk Transfer Comparison rapport van Ponemon dat organisaties data weliswaar hoger aanslaan dan fysiek bezit, maar dat ze er qua verzekeringen niet naar handelen.

Samenwerken en cyberrisico’s kwantificeren
Stap één in het creëren van besef is het kwantificeren van cyberrisico’s in diverse scenario’s, zodat managers en hun afdelingen inzien wat de financiële gevolgen zijn. Stel de vraag: wat zijn onze totale kosten bij een datalek of bij een hack van onze cruciale systemen? En zet daar vervolgens de waarde van verzekeringen tegen af.

Stap twee is het stimuleren van samenwerking tussen afdelingen. Multidisciplinaire teams met vertegenwoordigers van IT, financiële zaken, HR en juridische zaken helpen daarbij. Kijk ook verder dan alleen de eigen organisatie; zoek naar partnerships binnen de hele branche of keten. Alleen organisaties met zo’n proactieve, holistische benadering zijn cyberrisico’s echt de baas.

 

Volg Aon