Titel - Title

Article

Toezicht houden op cyber risico's

Een commissaris houdt toezicht op het bestuur van de onderneming. Welke risico’s loopt de onderneming en is dit nog verantwoord? In een samenleving die toenemend complex en onzeker is, wordt dit een steeds uitdagendere opgave.

We leven in een tijd van een grote veranderingen gedreven door digitale technologie. De duizelingwekkende snelheid waarmee dit gaat maakt soms onzeker. We hebben daar zelfs een woord voor bedacht: ‘disruptive’. Een woord wat zowel positief als negatief uitgesproken kan worden; het hang er nogal van af aan welke kant je staat van de disruptieve ontwikkeling.
 

Het Digitale Dilemma in de Bestuurskamer

Onzekerheid kan in de basis twee emoties opwekken. Het kan leiden tot verwachtingen en hoop; we leven in een wereld van oneindig veel mogelijkheden. Het kan ook leiden tot angst en onzekerheid; we leven in een wereld van onvoorspelbare risico’s.

Een digitaal dilemma wat bovenaan de agenda staat in elke bestuurskamer. Van de ene kant moet de onderneming versneld meegaan in de digitale ontwikkelingen en voortdurend innoveren met de nieuwste informatietechnologie. Aan de andere kant zal dit leiden tot kritische vragen van commissarissen aan bestuurders over de bijbehorende risico’s. Soms naar aanleiding van grote hacks en datalekken die tegenwoordig regelmatig in het nieuws komen.

Kan ons dit ook overkomen?
Het antwoord daarop zal altijd ‘ja’ zijn; niemand is immuun voor cyber bedreigingen.

Wat is de kans dat we doel worden van een geavanceerde aanval?
Dat is van zoveel factoren afhankelijk dat dit niet te voorspellen is; er zijn zoveel motieven te bedenken en sommige geavanceerde aanvallen gebeuren geheel willekeurig; gewoon omdat het kan.  

Wat is de potentiele impact als het ons voorkomt?
Bedenk een doem scenario en het kan gebeuren; een realistisch digitaal armageddon is gemakkelijk geschetst.

Doen we dan genoeg om cyber risico’s te beheersen?
Het antwoord daarop is moeilijk te geven. Garanties rond cyber risico’s zijn er namelijk niet, tenzij je offline gaat en afziet van technologische innovaties.

Vragen waar dus niet echt een bevredigend antwoord op komt voor een toezichthouder die wil voorkomen dat het mis gaat. Omdat te kunnen accepteren en daarmee om te gaan heb je begrip nodig van de innovatieve aard van criminaliteit en cyber criminaliteit in het bijzonder.
 

Cyber Criminaliteit is Innovatie

Waarom zijn criminele business modellen zo innovatief en dus vaak succesvol? Criminelen kennen geen juridische of morele grenzen. Restanten van hiërarchische, maffia-achtige criminele groeperingen zijn nog steeds te vinden maar de hedendaagse criminele organisaties zijn gedistribueerde netwerken die draaien rond deskundigheid, reputatie en kapitaal. Expertise wordt verhandeld tussen criminelen die elkaars identiteit niet kennen maar vertrouwen op elkaars reputatie.

De verdedigende kant heeft het heel erg moeilijk. Met duidelijke juridische en morele grenzen, hiërarchische structuren, weinig onderling vertrouwen en een zeer publiek karakter is het een asymmetrisch gevecht waarbij de aanvaller sterk in het voordeel is. Als verdediger moet je alle gaten dichthouden in een zich snel ontwikkelend IT landschap terwijl de aanvaller aan 1 heel klein gaatje genoeg heeft. En je kan vandaag veilig zijn maar je weet niet wat ze morgen voor aanvalstechnieken bedenken, je loopt altijd achter de ontwikkelingen aan.
 

Cyberrisico als bedreiging

Als je alleen kijkt naar de bedreigingen en kwetsbaarheden dan is een natuurlijke reactie hierop angst. En angst leidt tot veel controle en een compliance gedreven aanpak; zorgen dat we goed ingedekt zijn voor aansprakelijkheid als het mis gaat.

Met als gevolg veel beleid en procedures die voorschrijven wat iedereen zou moeten doen en vervolgens controleren of mensen zich wel houden aan deze regels. Hiermee gaat heel veel tijd en energie zitten in interne controle en compliance. Tijd en energie die beter besteed kan worden aan het echt managen van cyber risico’s.
 

Cyberrisico als kans

Wat commissarissen naast de bedreigingen ook moeten benadrukken in hun toezichthoudende rol naar de bestuurders is dat elke organisatie in deze tijden van grote verandering met zaken bezig is die cyberrisico’s creëren. De bedreigingen zijn een vast gegeven, het vergroten van cyber risico’s doe je voor een groot deel als organisatie zelf.

In tijden van versnelde verandering moet de organisatie continue innoveren om niet achterop te raken; innovaties die cyber risico’s creëren. Bijna al die innovaties zijn gebaseerd op informatietechnologie die ontworpen is om het heel gemakkelijk te maken om informatie te delen, niet om het te beschermen. Je geeft je eigen mensen, klanten en partners hele krachtige informatietechnologie die het heel gemakkelijk moet maken om informatie te krijgen, te delen en beslissingen te nemen. En mensen maken nou eenmaal fouten.

En hierin ligt de kans van cyberrisico. Organisaties die heel goed zijn in cyber risk management kunnen meer innoveren, meer waarde halen uit data en mensen meer empowerment geven. In deze snel veranderende wereld moeten cyber risico's worden beheerst vanuit het besef dat de organisatie wendbaar, open en verbonden moet zijn en de organisatie dus niet vastgezet kan worden met teveel beveiligingsmaatregelen.

Door te investeren in de bescherming van de meest kritische informatie en vooral veel beter worden in het tijdig opsporen van infiltraties en daarop effectief reageren. Zodat de gevolgen van incidenten op een acceptabel niveau blijven en je vervolgens kan herstellen naar een hoger niveau. Een lerende organisatie die daarmee weerbaar is geworden voor cyber risico’s en meer kansen kan benutten.
 

Een lerende governance omgeving

Het doel van de informatiebeveiliging verschuift van het voorkomen dat dingen verkeerd gaan naar het mogelijk maken van innovatie, empowerment en het waarde halen uit data. Het gesprek van commissarissen over cyber risico management moet dan niet alleen gaan over het voorkomen cyber incidenten maar vooral over wat het de organisatie gaat opleveren.

Er moet naar aanleiding van de strategie een open gesprek gevoerd worden in hoeverre de organisatie de bijbehorende cyber risico’s kan en wil nemen. En dat er eventueel investeringen in cyber risico management nodig zijn die het mogelijk maakt om meer cyber risico op een verantwoorde manier te nemen waardoor de organisatie zich sneller kan ontwikkelen in het informatie tijdperk.

In de dynamische en complexe omgeving die cyberspace is, moet je kunnen loslaten en vertrouwen en tegelijk accepteren dat mensen fouten kunnen maken. Je moet dan wel waakzaam zijn en zorgen dat incidenten snel worden gezien en gerapporteerd. En als er incidenten zijn dit zien als een kans om te leren en te verbeteren. Waardoor de transparantie gewaarborgd blijft en de toezichthouder zijn rol kan vervullen.

Door als raad van commissarissen te zorgen voor een lerende governance omgeving wordt kwetsbaarheid een kracht door weerbaarheid voor cyber risico’s.

Meer weten over o.a. cyber risico's? Zie onze opleiding Building a resilient organization – Pijler 3: Cybersecure by innovation (cyber security, risk & privacy) 

Vond u dit nuttig?