Directeuren, houd u aan uw eigen cybersecuritybeleid
Cyberveiligheid is een continue wapenwedloop, met organisaties die zich proberen te beveiligen en criminelen als strijdende partijen. En het is nooit rustig aan het front, getuige de vele griezelberichten over zaken als phishing, hacks en ransomware. Het inzicht dat cybercriminaliteit een ernstige misdaad is, neemt zeker toe. Cyberrisico’s staan in elk geval bovenaan de lijstjes met wat bedrijven als belangrijkste risico’s beschouwen en dat was vijf tot tien jaar geleden nog wel anders.
De urgentie om de strijd tegen criminaliteit zwaar aan te zetten, neemt bovendien met de dag toe. Cybercriminelen worden steeds gewiekster – zó gewiekst, dat het risico op schade maar blijft oplopen. Verzekeraars willen steeds strengere beveiligingsmaatregelen van bedrijven zien, vragen steeds hogere premies of trekken zich helemaal terug uit de markt voor cyberverzekeringen. Ook de wet- en regelgeving die bedrijven verplicht maatregelen te nemen tegen cybercriminaliteit wordt keer op keer aangescherpt. Sinds de invoering van de Algemene verordening gegevensbescherming in 2018 (AVG, ook bekend als General Data Protection Regulation of GDPR) kan een bedrijf dat steken heeft laten vallen bij het aanleggen van een verdedigingslinie tegen cyberaanvallen tegen een boete oplopen.
Nationale wetgeving
Sinds de invoering van de nieuwe NIS2-richtlijn begin dit jaar kunnen daar nog extra boetes bijkomen. In januari 2023 is de implementatietermijn gestart, waarin deze tweede Europese Network and Information Security-richtlijn moet worden opgenomen in de nationale wetgeving. Vanaf oktober 2024 is de naleving van NIS2-wetgeving vereist voor bedrijven die actief zijn in ‘essentiële sectoren’, te weten: de transportsector, gezondheidszorg, bankensector, financiële markten, digitale infrastructuur, drinkwatervoorziening, rioolwaterafvoer en energievoorziening. Daarnaast vallen bedrijven die zakendoen met deze bedrijven straks onder de nieuwe NIS2-richtlijn. Kortom: bijna alle bedrijven worden verplicht om de nodige cybersecuritymaatregelen te nemen. Doen ze dat niet, dan lopen ze het risico op een boete die kan oplopen tot 10 miljoen euro of 2 procent van hun omzet.
Technische oplossingen én gedrag
Dat zal, dat moge duidelijk zijn, zeker gevolgen hebben voor menige IT-afdeling. Die is van oudsher belast met cybersecurity – sinds een jaar of 20, toen de beveiliging van informatiesystemen bij bedrijven op de agenda kwam. Ook in de toekomst zal IT zeker een rol blijven spelen in de strijd tegen cybercriminaliteit. Maar te zwaar leunen op IT-oplossingen alleen is levensgevaarlijk en het is ook niet meer mogelijk om de verantwoordelijkheid voor de cybersecurity neer te leggen bij het hoofd van de IT-afdeling of de cio of ciso – onder meer omdat die laatste zich in een erg lastige positie bevindt, waarover straks meer. Cybersecurity moet worden gezien als onderdeel van het risicomanagement van het bedrijf als geheel. Daarvoor zijn bestuurders en commissarissen verantwoordelijk, en het is dus ook hun verantwoordelijkheid cyberrisico’s te managen. Willen zij die verantwoordelijkheid serieus nemen, dan moeten ze vragen stellen over de veiligheid van hun eigen organisatie, met aandacht voor zowel technische oplossingen als voor het menselijk gedrag én voor organisatorische maatregelen. Men moet de regie nemen en met inbreng van de cio en andere deskundigen vaststellen hoe het met de cybersecurity van het bedrijf is gesteld. Daarbij hoort het opstellen van een goed beveiligingsplan, zorgen dat het wordt geïmplementeerd en nauwlettend monitoren of de veiligheid nog wel op peil is. En een voorbeeldrol vervullen, want succesvol risicomanagement hangt sterk af van de cultuur en de individuele hygiëne in een organisatie. Leading the change zou hun devies moeten zijn.
Een verduidelijkende metafoor
De praktijk is anders. Het risicobewustzijn onder veel bestuurders en commissarissen laat te wensen over. Ze hebben het druk, vaak té druk om zich intensief met risicomanagement bezig te houden hoewel ze daar wel verantwoordelijk voor zijn. Bovendien praten mensen doorgaans niet graag over risico’s – en bestuurders en commissarissen vormen geen uitzondering op deze regel. Sterker nog, ze zijn vaak zeer ondernemend ingesteld en meer gericht op kansen dan op risico’s.
Het persoonlijke gedrag van menig bestuurder en commissaris getuigt ook bepaald niet van een hoog risicobewustzijn. Zij gedragen zich als het ware als de directie van een bouwbedrijf die de eigen veiligheidsvoorschriften niet naleeft. Veiligheid op de werkplek is belangrijk, dat ziet de directie natuurlijk in. Daarom dringt men ook aan op allerlei veiligheidsmaatregelen en daarom moet iedereen zich ook verantwoordelijk gedragen op het werk. Maar een paar keer per jaar, wanneer het managementteam de grote bouwplaatsen bezoekt voor fotomomenten of een netwerkevenement, draagt de ene board member geen helm en heeft de ander liever geen veiligheidsvest over zijn nieuwe kostuum. Zij scoren niet alleen een zware onvoldoende op de eigen veiligheidshygiëne, maar plegen ook een aanval op de veiligheidscultuur van het bedrijf. Want als de leden van het managementteam hun eigen veiligheidsvoorschriften al niet serieus nemen, zullen andere medewerkers dat ook niet gauw doen.
De ondankbare opdracht van de ci(s)o
Deze metafoor maakt hopelijk duidelijk wat de olifant in de kamer is als het gaat om cybersecurity: iedere bestuurder en commissaris heeft cyberrisico’s bovenaan de prioriteitenlijst staan, maar tegelijkertijd kent elke ciso en elke cio de verhalen over uitzonderingen op het cybersecuritybeleid. Met de beveiligingsmaatregelen is weinig mis. Alleen wordt er vaak een oog toegeknepen als de top van het bedrijf zich niet aan zijn eigen veiligheidsregels houdt. Leden van de raad van bestuur en raad van commissarissen vinden het sowieso een abstract onderwerp. Ook als dit niet zo is, vinden ze het niet altijd bijster interessant, laat staan dat ze vinden dat ze alle veiligheidsregels moeten naleven.
Ook als ze wel van goede wil zijn, staat de onevenwichtige relatie met de ciso of cio een goed cybersecuritybeleid in de weg. De ci(s)o heeft de ondankbare opdracht zijn of haar superieuren – want dat zijn het – op de vingers te tikken over digitale hygiëne en hen beslissingen laten nemen over ongemakkelijke onderwerpen. Dat lukt alleen als die superieuren een voortrekkersrol willen spelen als het gaat om de beheersing van cyberrisico’s. Van de ciso of cio hoeft niet verwacht te worden dat hij of zij daar scherp tegen zal optreden. Vaak is het nu eenmaal eerder iemand die een duim omhoog zal steken bij de vraag of de boel wel op orde is, dan iemand die zijn superieuren erop zal aanspreken als zij de veiligheid van het bedrijf in gevaar brengen.
4x onthouden
Tot slot vier takeaways:
- Bestuursleden en commissarissen zullen onder NIS2 toch echt een actieve rol moeten spelen in het cyberrisicobeleid. Hopelijk kan de introductie van NIS2 hun belangstelling voor het onderwerp cybersecurity verder aanwakkeren. Nodig die cio of ciso dus eens uit, en bespreek samen het beleid tegen cybercriminaliteit. Vergeet niet een draaiboek op te stellen voor het geval uw bedrijf het slachtoffer wordt van een cyberaanval;
- Neem bovendien uw persoonlijke verantwoordelijkheid. Walk the talk én laat zien dat het cybersecuritybeleid geen uitzonderingen kent – ook niet op directieniveau;
- Misschien dat dit ten koste gaat van het gebruiksgemak, maar veel veiligheidsmaatregelen hoeven helemaal niet te conflicteren met een goede user experience. Zeker niet als u gebruikmaakt van VIP-services die veiligheid en gebruikersvriendelijkheid combineren. Zorg voor feedback op het gedrag in de organisatie, ook op uw eigen gedrag. Mensen boeken de meeste vooruitgang als feedback op acties onmiddellijk, constructief en continu wordt gegeven;
- Help mensen zich bewuster te worden van de gevaren die ze lopen, wat ze wel en niet moeten doen en hoe ze zichzelf kunnen beschermen tegen cyberrisico’s. Ook bestuurders moeten inzien dat ze beter geen uitzonderingspositie kunnen innemen.
De auteur van dit artikel is managing director van Cyberwolf.io, een bedrijf dat zich richt op persoonlijke cybersecurity van executives en non-executives. De schrijver kiest ervoor om anoniem te blijven, zijn identiteit is bekend bij de hoofdredactie van Management Scope. Dit essay is gepubliceerd in Management Scope 08 2023.