IT-Kennislacune maakt kwetsbaar

IT-Kennislacune maakt kwetsbaar
Organisaties zijn meer informatie- en IT-gedreven dan ooit. Door de veiligheidsrisico’s die daarmee gepaard gaan, is cybersecurity een thema voor de boardroom geworden. Maar hoe gaat het in de praktijk?

Het is de nachtmerrie van iedere organisatie: een aanval door cybercriminelen. De toenemende digitalisering binnen en tussen bedrijven zorgt voor snellere en betere communicatie, maar maakt deze tegelijkertijd kwetsbaarder voor cyberaanvallen. Helaas komt het hacken van bedrijfsgevoelige en persoonlijke informatie wereldwijd steeds vaker voor, en zeker niet alleen bij bedrijven waar de (IT-)zaken niet op orde zijn. In een rapport uit juni 2015 door het Ponemon Institute, een onderzoeksbureau dat zich toelegt op onderzoek naar privacy en databeveiliging, werd aan IT-specialisten gevraagd of van hun bedrijf ooit zeer waardevolle gegevens gestolen waren. Vierenvijftig procent antwoordde ‘ja’.

DISCREPANTIE
In samenwerking met IBM onderzocht het Ponemon Institute de kosten van gestolen informatie bij 350 bedrijven in elf landen. Wat bleek: de gemiddelde kosten per organisatie voor cybercrime lagen op 3.34 miljoen euro in 2014, een toename van 23 procent ten opzichte van een jaar eerder. Moeten organisaties dan terug naar papieren archieven, waar bestuursstukken worden opgeborgen en de deur vervolgens van op slot gedraaid? Dat lijkt niet erg waarschijnlijk, noch verstandig. Hoewel in principe alle organisaties slachtoffer van hackers kunnen worden, lopen bepaalde bedrijven wel een verhoogd risico. Dat zijn vooral bedrijven waar de urgentie en kennis van het thema cybersecurity in de boardroom ontbreekt. In juni 2015 deed hetzelfde Ponemon Institute onderzoek bij een groot aantal Amerikaanse bedrijven, waarbij ze 245 bestuurders en 409 IT-professionals vroegen hoe het thema cybersecurity leefde binnen hun organisatie. Hoewel zeventig procent van de bestuurders aangaf genoeg besef te hebben van de veiligheidsrisico’s die hun organisatie op het gebied van IT liep, waren de IT-medewerkers het hier niet helemaal mee eens. Slechts 43 procent vond dat hun bestuur en directie inderdaad voldoende kennis van zaken had. Blijkbaar is sprake van een discrepantie tussen de kennis die men in de boardroom denkt te hebben en de kennis die er volgens de IT-afdeling daadwerkelijk is.

HANDVATTEN
Die discrepantie is niet zo vreemd, want cybersecurity is een dusdanig complex, technisch, veelomvattend en dynamisch thema, dat het haast onmogelijk is om als bestuurslid van alles op de hoogte te zijn – en vooral te blijven. Andersom is het voor de IT-medewerkers van een organisatie vaak lastig om hun technische kennis om te zetten in concrete actiepunten voor de directie.
Het is aan de IT-specialist om bepaalde risico’s te signaleren, de bestuurders moeten deze vervolgens organisatiebreed op de agenda te zetten, duidelijke richtlijnen en strategieën ontwikkelen en een bedrijfscultuur creëren waarin de regels en procedures omtrent cybersecurity voor iedereen helder zijn. Hoewel dit niet van de ene op de andere dag te verwezenlijken is, is er wel een aantal handvatten om het thema cybersecurity succesvol te regisseren en reguleren vanuit de boardroom.

CYBERTOLK
Zoals ook uit het onderzoek van het Ponemon Institute blijkt, is het voor IT-specialisten vaak een uitdaging om het belang en de risico’s van cybersecurity op de juiste manier te communiceren in de boardroom. Slechts achttien procent van de IT-specialisten heeft het idee dat hun bestuur effectief met cybersecurity omgaat. Als ze daar überhaupt al terechtkomen, want vaak genoeg wordt de IT-afdeling te weinig (of helemaal niet) bij beslissingen in de boardroom betrokken. Organisaties doen er dan ook goed aan om iemand in de directie te hebben die ‘cyber spreekt’ en als een tolk kan fungeren tussen de twee partijen. Een chief information officer, die de technische details begrijpt en deze om kan zetten in actiepunten waar de directie concreet mee aan de slag kan. Wie een stap verder wil gaan, kan zelfs overwegen om een apart sub-bestuur in te richten, dat zich (tijdelijk) specifiek op het thema cybersecurity richt.

OPFRISCURSUS
Niet iedere organisatie heeft de middelen om een cybertolk of apart cyberbestuur in te schakelen. Wat voor de meeste directies wel haalbaar is, is bijvoorbeeld een driemaandelijkse ‘opfriscursus’ op het gebied van cybersecurity. Niet alleen hou je hiermee de kennis van het bestuur op peil, ook zorg je ervoor dat cybersecurity als thema continu op de radar blijft. Tijdens deze sessies kunnen actuele voorbeelden uit de praktijk worden besproken en krijgt men de gelegenheid om kritische vragen te stellen. Daarnaast kan de implementatie van board portal software ervoor zorgen dat informatie binnen het bestuur op veilige manier wordt gedeeld. Meer bewustwording en een beter beleid op het gebied van cybersecurity begint immers bij jezelf.

CONCRETE RICHTLIJNEN
Als de urgentie en kennis van cybersecurity eenmaal tot de boardroom is doorgedrongen, is het vervolgens zaak deze ook binnen de rest van de organisatie te vertalen in concrete richtlijnen. De implementatie van securitytools, die risico’s op dagelijkse basis monitoren, is een eerste stap. Verder kan de integratie van veilige datatools ervoor zorgen dat gevoelige informatie op de juiste manier kan worden gedeeld. Daarnaast is het belangrijk om een aantal basisregels te communiceren omtrent het delen van informatie. Welke informatie wordt via welk kanaal (mail, telefoon, face to face) gedeeld? Mailen is een snelle en eenvoudige, maar ook gevoelige manier om bepaalde kennis of informatie te delen. Zorg dat alle medewerkers binnen de organisatie, net als het bestuur zelf, zich bewust zijn van de veiligheidsrisico’s en zich gemotiveerd voelen om hier zo verantwoordelijk mogelijk mee om te gaan.

BEGRIJP DE CLOUD
Cloudservices bieden geweldige mogelijkheden om snel en veel informatie uit te wisselen. Het is echter wel van belang om je ook bewust te zijn van de risico’s. Hoewel veel cloudservices inmiddels ook werken met encryptie en authentificatie, is het nog steeds aantrekkelijk en relatief eenvoudig voor hackers om informatie te achterhalen. In het minst erge geval gaat dat misschien om e-mailadressen, maar in het ergste geval kan hiermee bedrijfsgevoelige of persoonlijke informatie op straat komen te liggen. Let dus op wat je als directie via de cloud met elkaar en je medewerkers deelt. Voor gevoelige informatie zijn interne cloudoplossingen of beschermde portals een betere optie.

MONITOREN EN BIJSTUREN
De ontwikkelingen op het gebied van digitalisering gaan dusdanig snel, dat het voor een bestuur bijna onmogelijk bij te benen is. Dagelijks worden binnen een organisatie nieuwe technologieën geïmplementeerd en apparaten geïnstalleerd. Personeel werkt op steeds meer verschillende devices en niet alleen op kantoor, maar overal: van het openbaar vervoer tot de koffiebar. Hiermee nemen ook de veiligheidsrisico’s toe. Zorg voor een standaard checklist bij iedere nieuwe ontwikkeling binnen de organisatie. Wat zijn de mogelijke voordelen, nadelen en risico’s? Vormt het een meerwaarde voor het bedrijf of een mogelijke bedreiging? Is de medewerker zich hier ook van bewust? Welke informatie beheren we met deze technologie, en hebben we een contingency plan als het systeem wordt aangetast? Ook hier begint het met duidelijke communicatie en een open dialoog met de IT-afdeling en de rest van de organisatie.

Charlie Horrell is Managing director EMEA bij Diligent.

Deze analyse is gepubliceerd in Management Scope 10 2015.

facebook