Cybersecurity

Bestuurders, geef cybercriminelen geen kans: investeer in cybersecurity

Aan bestuurders om cybercriminelen voor te zijn en de cybersecurity te bewaken

Criminelen die uit zijn op financieel voordeel of die schade willen berokkenen aan bedrijven doen dit steeds vaker online. Vaak gebruikte technieken zijn phishing, malware en ransomware, netwerkscannen, botnets, data leakage, DDoS attacks… Cybersecurity is een must want de financiële impact en de operationele gevolgen van een cyberaanval of een afpersing kunnen duizelingwekkend groot zijn.

Het Wannacry-virus bijvoorbeeld heeft de rederij Maersk vorig jaar bijna 300 miljoen euro gekost, bovenop een bedrijfsverlies van ettelijke miljoenen. De cyberdreigingen op bedrijfsnetwerken en de daarmee verbonden ICT- en cloudtoepassingen blijven intussen onophoudelijk verder evolueren in complexiteit en effectiviteit. Terwijl de cybersecurity in sommige bedrijven soms jaren op de feiten achterloopt. De nieuwste generatie dreigingen viseert bijvoorbeeld de slecht beveiligde smartphones en persoonlijke tablets van het personeel. Hoe meer digitalisering, hoe kwetsbaarder het bedrijf?

Board-materie
Wie meent dat cybersecurity enkel een verantwoordelijkheid is voor het IT-departement, heeft het mis. Informatici zijn trouwens geen specialisten in cybersecurity. Ze kunnen alleen maar een algemene diagnose stellen. Wij menen dat cybersecurity geen ‘kost’ is voor het bestuur maar structureel een strategische aangelegenheid. De bespreking ervan zou de hoogste prioriteit moeten krijgen in de raad van bestuur en bij het management.

De bestuurders zijn collegiaal verantwoordelijk om alle activa, dus ook de integriteit van alle data van de vennootschap te beschermen. En cyberveiligheidsincidenten hebben een grote impact op de economische activa, het management en het imago van een bedrijf. De raad van bestuur moet dus leiderschap tonen bij het formuleren en doen handhaven van een strikt cyberveiligheidsbeleid.

Opdracht voor het management
Een CEO mag er vandaag niet meer van uitgaan dat het hem of haar niet kan overkomen of dat deze investering niet zal lonen. De beveiliging tegen cybermisdrijven wordt best even gedisciplineerd aangepakt als gelijk welk ander bedrijfsrisico. En als men niet over de juiste expertise beschikt moet men die inhuren. Volledige veiligheid is echter niet mogelijk, noch de beste oplossing. De CEO moet altijd een slim evenwicht nastreven tussen risico en zaken doen, want de business moet blijven draaien. Dan luidt de vraag: wat verdient absolute bescherming en welke risico’s mogen er genomen worden? Hij moet zijn bestuurders ervan kunnen verzekeren dat er een bedrijfsbreed cyberveiligheidsbeleid met adequate procedures bestaat en dat de verantwoordelijkheden duidelijk bepaald zijn.

De beveiligingsagenda moet alleszins proactief en preventief aangepakt worden. Ook hier wordt de put te vaak pas gedempt als het kalf verdronken is. Het Centrum voor Cybersecurity België raadt alle ondernemingen aan om een cybersecurityplan uit te werken. In samenwerking met de FOD Economie en de Cyber Security Coalition Belgium bracht deze coördinerende cyberveiligheidsautoriteit een nuttige referentiegids uit.

Meer weten over cybersecurity en de rol van het bestuur in risicobeheer en beleid hierrond?
Lees onze whitepaper ‘Cyberdreigingen en het beveiligingsbeleid van het bestuur

Ondernemingscultuur
Bij cybercrime is vooral de mens de zwakke schakel. Vraag u niet af of u gehackt kan worden maar wel wanneer en hoe dat zal gebeuren. Eén enkele geslaagde phishing mail of één aangetaste computer kan immers een hele onderneming ontregelen.

Een goede cybersecurity vergt bijgevolg een alerte maar open bedrijfscultuur. Met plaats voor sensibiliserende en zelfs leuke opleidingen en oefeningen over de gevaren en risico’s. Creëer een klimaat waar medewerkers aangemoedigd (en beloond!) kunnen worden om mistoestanden en gevaren te melden. Want cyberveiligheid is eenieders verantwoordelijkheid! Wees duidelijk over wat ze moeten doen en wel of niet mogen doen.

Overigens, zijn alle medewerkers even betrouwbaar? Heeft iedereen steeds de juiste toelatingen op basis van zijn taken? Nog te veel cyberincidenten zijn gewoon te wijten aan “insiders” of verongelijkte werknemers die hun kennis van de bedrijfsprocessen en systemen misbruikt hebben, met of zonder opzet.

Bestuurlijke aandachtspunten voor meer cybersecurity
Het management ontwikkelt best een begrijpelijke KPI-rapportage zodat de bestuurders een goed inzicht kunnen verwerven in deze aparte discipline met zijn eigen cyberjargon en zijn specifieke risico’s. We mogen van de bestuurders niet verwachten dat zij technisch in staat zijn om heel het cybersecuritysbeleid te doorgronden en te begrijpen. Maar als bestuurder moeten ze de CEO strategisch adviseren en kunnen ze hem of haar controleren, ook over het thema cyberveiligheid.

Een strategisch debat over de aanpak hierrond kan gebaat zijn met enkele slimme vragen. Als bestuurder kan u misschien uw voordeel doen met dit lijstje om het thema van cybersecurity bespreekbaar te maken:

• Wat zijn voor onze onderneming de relevantste cyberbedreigingen en waar komen ze vandaan?
• Welke activa, welke ‘kroonjuwelen’ moeten we echt beschermen omdat niemand anders die in handen mag krijgen? Weten we welke software, processen en systemen voor ons echt van vitaal belang zijn?
• Is er een globaal framework of checklist met procedures en afspraken?
• Wie is de interne verantwoordelijke? Wie is onze chef cybersecurity?
• Hoe groot is het veiligheidsbewustzijn bij de medewerkers? Gaan ze gedisciplineerd om met de instructies?
• Hoe vaak worden er, analoog aan brandoefeningen, cyberoefeningen uitgevoerd om de digitale beveiliging en weerbaarheid van onze organisatie te testen?
• Wat investeren wij in antivirussoftware en serverbeveiliging ?
• Is al onze software geïnventariseerd en voorzien van de juiste updates en licenties? Hoe gebeuren de back-ups van onze interne systemen? Worden onze beveiligingsprogramma’s regelmatig grondig bijgewerkt?
• Houdt onze cybersecurity ook rekening met onze keten van leveranciers, (onder)aannemers en afnemers? Hoe groot is onze digitale verwevenheid met hun systemen?
• Hebben wij een cyberpolis afgesloten, behoort de cyberverzekering tot ons basisverzekeringspakket?
• Hoe gaan wij reageren als er zich een incident voordoet en hoe gaan we de impact ervan beperken? (*) Wat staat er in ons incidentresponsplan? Beschikken we over recovery procedures en een business continuity plan?

Als sommige antwoorden op dergelijke vragen u niet bevallen hebt u als bestuurder alleszins een reden om aan de cybersecurityalarmbel te trekken…

(*) Het algemene advies rond ransomware is om nooit losgeld te betalen aan de cybercriminelen. Zo houdt u deze vorm van criminaliteit in stand. Een betaling garandeert ook nooit dat uw bestanden daadwerkelijk ontsleuteld zullen worden.

AANBEVOLEN BLOGS