Cybersecurity

Cyberrisico’s en hoe het bestuur hiermee om moet gaan

Hoe het bestuur cyberrisicos moet managen

‘Krakers hacken browser van Tesla model 3’
‘Hoe een cyberaanval deze ondernemer 60.000 euro kostte’
‘Gevoelige gegevens 2,4 miljoen mensen en bedrijven Dow Jones gelekt’

Het zal u niet ontgaan zijn: anno 2019 vormen cyberrisico’s een reële bedreiging voor bedrijven en organisaties. Wat zijn de verschillende cyberrisico’s? Welke verantwoordelijkheid hebben besturen ten aanzien van deze risico’s? En welke voorzorgsmaatregelen zijn mogelijk? In dit blog krijgt u antwoord op deze vragen.

Wat zijn de verschillende cyberrisico’s?

Een cyberrisico is letterlijk een gevaar rondom het gebruik van internet. Verreweg de meeste cyberrisico’s zijn vormen van cybercriminaliteit, wat betekent dat kwaadwillende partijen doelbewust aanvallen uitvoeren op (een deel van) uw computernetwerk. Een paar voorbeelden van cybercriminaliteit zijn:

  • Virussen, ook malware genoemd – ze verstoren de werking van computers
  • Ransomware – dit blokkeert computers en computernetwerken met als doel de gebruikers te laten betalen om de blokkade teniet te doen
  • DDoS (Distributed Denial of Service)-aanvallen – ze zorgen voor overbelasting van de server en maken daardoor een website of internetdienst onbruikbaar
  • Hacking – dit is de gangbare term voor het inbreken in een computersysteem of netwerk.

Naast cybercriminaliteit bestaat er nog een ander cyberrisico, en dat is onachtzaamheid van de gebruikers. Ook op die manier kunnen data in verkeerde handen vallen. U kunt hierbij bijvoorbeeld denken aan een vergeten laptop in de trein, een rondslingerend briefje met wachtwoorden of een mail met belangrijke informatie die is verstuurd aan verkeerde mailadressen.

Wat de oorzaak van een inbreuk op uw computersysteem ook is, de gevolgen voor uw bedrijf of organisatie zijn meestal groot. Naast kosten voor de controle en het herstel van uw IT-systemen bestaat er een grote kans dat uw medewerkers een aantal dagen hun werk niet of nauwelijks kunnen doen. Dat is verloren productietijd. En komen de gegevens van een of meer van uw klanten op straat te liggen, dan kan dat leiden tot reputatieschade. In alle gevallen is dit een kostbare zaak.

Cyberrisico’s inperken met Secure File Sharing

Voor het bestuur dat cyberrisico correct inschat en dus het belang van processen
en beveiligde tools begrijpt, is er nu Secure File Sharing van Diligent.

Welke verantwoordelijkheid hebben besturen van (internationale) bedrijven?

Cyberrisico’s zijn de nachtmerrie van elke organisatie. Tegelijkertijd gaat het om een complex onderwerp waar veel leden van de Raad van Bestuur weinig verstand van hebben. Hoe gaat u daar als Raad van Bestuur mee om?

In een uitzending van Inside American Boardrooms gaat sir Peter Bonfield uitgebreid in op deze vraag. Bonfield, als voorzitter van NXP, wereldwijd een van de grootste producenten van halfgeleiders, en voorzitter van de software Group Global Logic in Silicon Valley, heeft veel ervaring met internationaal zakendoen. Hij zegt heel stellig: “Cyberrisico’s zijn zo belangrijk, dat de eindverantwoordelijkheid daarvoor altijd bij het gehele bestuur moet liggen. Als je niet paranoïde bent op dit punt, let je niet goed op. Dat is de boodschap die het bestuur moet verspreiden.”

In zijn visie moeten alle vaste bestuursleden een bepaalde mate van kennis hebben van alle aspecten in het bedrijf, dus ook van cyberrisico’s. “Het is een complex gebied. Zelfs al zit er een cyberexpert in het bestuur, dan is die nog niet op elk deelgebied deskundig. Cyberrisico’s zijn niet met één expert op te lossen. Heb je een bepaalde expertise nodig, breng de juiste mensen in voor specifieke discussies.”

Gaat binnen een bedrijf een commissie met cyberrisico’s aan de slag, dan heeft Bonfield 2 adviezen:

  • De leden van die commissie moeten voldoende mogelijkheden krijgen om alle belangrijke taken uit te voeren
  • De commissie moet altijd rapporteren aan de Raad van Bestuur, want die is eindverantwoordelijk.

Bonfield is ook voorstander van een divers samengesteld bestuur, want juist verschillende visies helpen om gevarieerd te denken.

Welke voorzorgsmaatregelen zijn er mogelijk?

Voorzorgsmaatregelen beginnen ermee dat u zich bewust bent van de cyberrisico’s en dit onderwerp serieus neemt. Dat betekent bijvoorbeeld dat dit onderwerp regelmatig op de agenda staat van bestuursvergaderingen, dat er beleid komt en dat een afdeling of medewerker zich met cyberrisico’s gaat bezighouden.

Een aantal concrete voorzorgsmaatregelen op een rij:

  • Lees over ontwikkelingen rond dit cyberrisico’s
  • Informeer bij andere bedrijven in uw sector hoe zij met deze problematiek omgaan
  • Schakel een expert in, bijvoorbeeld voor het inventariseren van risico’s of het uitvoeren van testaanvallen op uw systemen
  • Houd hardware en software up-to-date en neem voorzorgsmaatregelen om ze te beschermen
  • Maak regelmatig externe back-ups van gegevens die essentieel zijn voor de bedrijfsvoering
  • Zorg dat uw medewerkers zich bewust zijn én blijven van hun verantwoordelijkheden rond cyberrisico’s
  • Denk alvast na hoe u zou reageren bij een cyberaanval of datalek.

Hoe zit het met de wet?

Sinds 2018 is in Europa Algemene Verordening Gegevensbescherming (AVG) van kracht (oftewel de General Data Protection Regulation (GDPR)), die bedrijven verplicht om zorgvuldig met persoonsgegevens om te gaan. De meeste bedrijven deden dat al, maar zijn zich door de wet nog meer bewust geworden van de risico’s. De hoge boetes die bedrijven kunnen krijgen als ze niet aan de wet voldoen, stimuleren bedrijven ook om hier nog zorgvuldiger mee om te gaan.

Whitepaper

 Cyberrisico inperken begint met een waterdicht beveiligingsbeleid.
In deze whitepaper leggen we aan de hand van drie misvattingen rond cyberrisico uit hoe een dergelijk beleid kan worden gerealiseerd.

 

 

AANBEVOLEN BLOGS