Cybersecurity

Hoe staat het met uw informatiebeveiligingsbeleid?

Heeft uw bestuur een grondig en degelijk informatiebeveiligingsbeleid?

Heeft u in de afgelopen maanden een van de volgende nieuwsberichten opgevangen?

Stroomstoring Schiphol zorgt voor vertragingen en annuleringen
Treinverkeer rond Amsterdam plat door grote storing
Luchtruim België dicht na technisch probleem Belgocontrol
Grote storing Vodafone
Gegevens 380.000 passagiers British Airways gestolen bij hack

Dan heeft u zich vast (opnieuw) gerealiseerd dat anno 2018 de bedrijfsvoering van veel bedrijven compleet afhankelijk is van IT. Waarschijnlijk geldt dat ook voor uw organisatie. Misschien heeft u al actie ondernomen om dit punt op de agenda van uw Raad van Bestuur of Raad van Commissarissen te krijgen. Dan heeft u al een grote stap gezet! Want een informatiebeveiligingsbeleid voor de continuïteit en veiligheid van digitale systemen begint met het besef dat dit een belangrijk onderwerp is. En dat wordt in RvB’s en RvC’s soms pas laat onderkend, simpelweg omdat bestuurders vaak wat ouder zijn, en daardoor minder op de hoogte van de mogelijkheden én de bedreigingen van de digitale wereld.

Wat zijn de digitale risico’s?

Om te beginnen: In dit blog vindt u geen complete checklist van alle digitale risico’s en de mogelijke oplossingen. Dat is ook niet mijn bedoeling. Ik wil u wel enkele onderwerpen aanreiken voor discussies in uw RvB of RvC over de continuïteit en beveiliging van uw IT-systemen.

Om u alvast aan het denken te zetten, begin ik met een paar vragen:

Heeft u een idee wat de directe en indirecte gevolgen zijn voor uw organisatie als er een storing optreedt in een van uw IT-systemen? Weet u bijvoorbeeld hoe lang uw medewerkers kunnen doorwerken als een systeem stilvalt? Of hoe snel uw klanten hiervan gevolgen ondervinden?

Welke maatregelen heeft uw bedrijf genomen om de continuïteit van uw systemen te garanderen? Hoe heeft u de beveiliging van uw bedrijfsgegevens geregeld? Zijn alle richtlijnen en acties rondom digitale continuïteit en veiligheid vastgelegd in informatiebeveiligingsbeleid? En worden dit informatiebeveiligingsbeleid én de naleving van de regels regelmatig onder de loep genomen en zo nodig aangepast?

Welke risico’s bedreigen uw IT-systemen?

De risico’s die IT-systemen bedreigen zijn in 2 categorieën te verdelen: continuïteit en veiligheid. Bij continuïteit gaat het om de vraag: Wat kan onder normale omstandigheden een goede werking van uw IT-systeem verstoren? Bij beveiliging is de kwestie: Welke maatregelen zijn nodig om te voorkomen dat kwaadwillende buitenstaanders toegang kunnen krijgen tot uw IT-systemen?

Digitale continuïteit

Zoals u in de titels van de nieuwsberichten aan het begin van dit blog heeft gezien, komen ook bij grote bedrijven storingen voor. Vaak zelfs onder ogenschijnlijk normale omstandigheden. Hoe kan het dan toch misgaan? Een mogelijkheid is bijvoorbeeld een stroomstoring bij uw energieleverancier, waardoor u geen elektriciteit meer heeft. Of er is een technische storing bij uw internet- of telefoonprovider, waardoor de toegang tot het wereldwijde web stagneert. Door een brand kan een server in uw bedrijf buiten werking raken. Ook kan een van uw IT-systemen crashen, waardoor uw bedrijfsactiviteiten stil komt te liggen.

Hoe groot de kans op een dergelijke storing is en hoe ernstig de gevolgen zijn, moet u voor uw eigen organisatie bepalen. En aan de hand van zo’n risico-inventarisatie kunt u bepalen welke voorzorgsmaatregelen u wilt treffen. Daarbij kunt u denken aan een generator om in noodgeval stroom op te wekken, een extra internetaansluiting voor meer bedrijfszekerheid, het gebruik van meerdere servers, al dan niet in de cloud, en natuurlijk een goede back-up van de IT-systemen.

Digitale beveiliging

De beveiliging van uw IT-systemen om hackers buiten te houden, dat zou net zo logisch moeten zijn als de beveiliging van uw huis tegen insluipers. Thuis sluit u de ramen en vergrendelt u de deuren om onbevoegden buiten te houden. Hoe is de bescherming van uw IT-systemen geregeld? Hoe is uw informatiebeveiligingsbeleid geregeld en vorm gegeven?

In de praktijk blijkt dat vaak een ondergeschoven kindje. Organisaties besteden wel aandacht aan beveiliging, monitoring en back-up-services, maar doen dat vaak niet consequent genoeg. Een nieuwe update van het antivirusprogramma wordt een keer niet geïnstalleerd, een serie nieuwe laptops wordt niet aan het monoringprogramma toegevoegd of de back-ups worden niet vaak genoeg gecheckt. Met een gedegen interne IT-afdeling en/of het inschakelen van een gespecialiseerde partij kunt u het beheer van uw IT-systemen goed regelen en de kans op een inbraak verkleinen.

Wat kunt u zélf doen?

Vaak denken we dat alleen IT-professionals verantwoordelijk zijn voor de beveiliging en/of het opstellen van een informatiebeveiligingsbeleid, maar dat is een onjuiste voorstelling van zaken. Alle medewerkers die met een smartphone, laptop of computer gebruik maken van IT-systemen van het bedrijf hebben hun eigen verantwoordelijkheid hierin. Dat geldt dus ook voor de leden van de Raad van Bestuur en de Raad van Commissarissen. Iedereen moet zich houden aan gebruiksregels die heel eenvoudig en logisch zijn, maar wel heel belangrijk. Denkt u bijvoorbeeld aan:

  • Diefstal voorkomen van smartphone, laptop en computer
  • Verloren of gestolen devices onmiddellijk op afstand laten wissen of deactiveren
  • Beheren van wachtwoorden volgens de regels
  • Geen gebruik maken van onbeveiligde en zwak beveiligde wifi-netwerken
  • Geen software downloaden die niet is goedgekeurd
  • Geen apps gebruiken die niet zijn goedgekeurd
  • Niet communiceren via onveilige kanalen zoals WhatsApp en/of email

Dit lijkt allemaal vanzelfsprekend, maar in de praktijk van alledag wordt het gemakkelijk vergeten. Dan blijken wij mensen geneigd om toch even snel WhatsApp te gebruiken om met collega-bestuurders te overleggen over delicate bedrijfsonderwerpen, terwijl dit platform niet gegarandeerd veilig is, en dus niet geschikt om over gevoelige informatie te communiceren.

De oplossing: aandacht voor het informatiebeveiligingsbeleid

Helaas, dé oplossing voor een goede continuïteit en veiligheid van uw IT-systemen kan ik u niet bieden. Dit is namelijk voor elk bedrijf anders. Ik raad u wel aan om informatiebeveiligingsbeleid een hoge prioriteit te geven binnen uw RvB of RvC, en daarbij ook regelmatig aandacht te schenken aan manieren waarop de leden van de raden zelf omgaan met uw digitale devices. Houd daarbij in het achterhoofd dat een datalek of inbraak in uw IT-systeem niet altijd het gevolg is van kwade opzet, maar vaak een gevolg van een verloren geraakte device of het achteloos omgaan met de regels van het informatiebeveiligingsbeleid.

Ik kan u ook aanraden om eens te kijken naar Governance Cloud, ons platform voor bestuurders. Daarmee kunt u gemakkelijk én veilig met uw medebestuurders communiceren. Governance Cloud is een zogenaamde Software as a Service, afgekort SaaS, een IT-dienst waarbij de software en de data in de cloud worden opgeslagen. Daarbij dragen wij zorg voor continuïteit en veiligheid, dat scheelt u weer kopzorgen!

 

AANBEVOLEN BLOGS