In vijf stappen naar goed toezicht op cybersecurity

15 maart 2022
Best practice

Een bedrijf dat dagenlang plat ligt vanwege een ransomware-aanval of diefstal van belangrijke technologische concepten. Het zijn nachtmerriescenario’s, maar tegelijkertijd wel de harde realiteit die regelmatig het nieuws haalt. Ceo’s maken zich dan ook grote zorgen over cybersecurity, zoals uit het 25e CEO Survey van PwC blijkt. Hoe kunnen organisaties deze tijdig detecteren en erop reageren en hoe kunnen commissarissen daar toezicht op houden? PwC-partner Gerwin Naber deelt best practices.

Cyberaanvallen kunnen grote schade aanrichten aan allerlei bedrijfsprocessen, maar ook een flinke deuk in het vertrouwen van organisaties slaan. Zowel ceo’s als commissarissen willen het gevoel hebben dat de organisatie goed is voorbereid. Bijvoorbeeld bij de recente Log4j-dreiging. Zodat bestuurders en toezichthouders de klanten en andere stakeholders met een gerust hart kunnen laten zien dat de organisatie zo goed mogelijk is beschermd tegen schade.

Vijf stappen

Goed voorbereid zijn betekent hier dat de kans groot is dat de verantwoordelijken binnen de organisatie een hack snel ontdekken en ze even snel adequaat handelen om lekken te dichten en verdere schade te voorkomen. Om daarvoor te zorgen, zijn de volgende vijf stappen belangrijk:

1. Definieer een eenduidige strategie

Beleid begint met een duidelijke stip op de horizon: de ambitie als het gaat om cybersecurity. Waar willen wij staan als organisatie ten opzichte van onze peers en aan welke normen en standaarden willen wij ons conformeren? Dit is een onderwerp dat uiteraard niet op zichzelf staat, maar moet worden gezien als onderdeel van de algehele digitale strategie van de organisatie.

2. Organiseer de governance: checks & balances en lines of defense

Goede governance betekent in dit verband niet het beleggen van het onderwerp bij één persoon of afdeling. Vergelijk het met de financiële aansturing: die gebeurt niet alleen door controllers die rapporteren aan de cfo. Er zijn ook ‘extra ogen’ bij betrokken, zoals risicomanagement en de interne-auditdienst die hun eigen rapportagelijnen hebben. Dergelijke checks & balances en verschillende lines of defense zijn ook nodig in de governance van cybersecurity. Externe assessments op de processen en systemen horen daar overigens ook bij: een frisse blik ontdekt vaak nog verdere mogelijkheden tot verbetering.

3. Stimuleer een cultuur waarin mensen elkaar aanspreken

Mensen vormen het grootste veiligheidsrisico. Zij maken fouten en vergissingen. Niemand wil op een link klikken in een verdachte mail, maar het gebeurt soms toch. Je kunt op kantoor alles beveiligen, maar als iemand een laptop in de auto laat liggen die vervolgens gestolen wordt, ontstaat er meteen een veiligheidsrisico. Het is ontzettend belangrijk dat mensen hier open over zijn. Dat de cultuur zo veilig is, dat ze deze vergissingen of andere risicovolle situaties meteen melden. En dat ze er elkaar op aanspreken.

4. Integreer cybersecurity in alle processen

Ik zie nogal eens dat er binnen organisaties in silo’s wordt gewerkt. Daardoor staat cybersecurity wel op het netvlies van de IT-afdeling, maar bijvoorbeeld niet bij de mensen die zich bezighouden met productontwikkeling of met de interne bedrijfsprocessen. Samenwerking tussen verschillende afdelingen zorgt ervoor dat digitale weerbaarheid wel bij iedereen op de agenda komt en draagt bij tot processen en producten die secure by design zijn. Daarmee kunnen organisaties zich écht onderscheiden.

Het doorbreken van silo’s op dit gebied voorkomt overigens ook dat IT-afdelingen met technologische veiligheidsoplossingen komen die zo gebruiksonvriendelijk zijn dat niemand ze wil of gaat gebruiken.

5. Test de cybersecurity regelmatig

Zorg ervoor dat de cybersecurity regelmatig wordt getest, dat er simulaties worden gedaan op de systemen. Hackers innoveren continu. Bovendien verandert een IT-infrastructuur na bijvoorbeeld de introductie van een nieuw systeem of een overname, waarbij bestaande systemen op elkaar aangesloten worden. Denk ook aan de verbindingen met andere, nieuwe partijen zoals leveranciers. Dus simuleer ook een crisis en kijk of de organisatie in staat is adequaat te reageren. Niet alleen vanuit de techniek: uiteindelijk is dit teamwerk en door dat goed te trainen, is uw organisatie vele malen beter voorbereid.

De vijf bovenstaande punten hebben één gemene deler: cybersecurity is niet het probleem van één afdeling, maar van de hele organisatie. En als de hele organisatie meewerkt aan de digitale veiligheid, krijgen de ceo en de commissarissen meer context en meer grip én meer comfort om de vraag te kunnen beantwoorden: doen wij de juiste dingen en doen wij die goed genoeg? Het leidt uiteindelijk ook tot betere beslissingen over alle digitale investeringen waarbij security vanaf het allereerste begin is geïntegreerd.

Op 22 maart organiseert PwC een eerste live seminar in het programma Commissarissenontmoetingen over cybersecurity met Gerwin Naber.

Klik hier voor meer informatie over het seminar en het programma Commissarissenontmoetingen en voor aanmelding.

Klik hier voor meer informatie over cybersecurity en contact met Gerwin Naber.

Auteurs
Gerwin Naber
partner PwC
Sector
Accountancy
Bedrijfsleven
Semipubliek
Thema
cyber security
Kennispartner
PwC

Verder in deze Governance Update

Spartaans toezicht en de vallende ster
Kwetsbaarheid geeft kracht
Kwaliteit op de bestuurstafel
Commissaris in crisistijd
De Goede Bestuurder
On Board
Kunst en cultuur, Openbaar bestuur
Meld je aan voor de Driehoek 3D trofee
Monitoring Commissie moet ook zichzelf herzien
Herziening governancecode heeft ook impact op mkb
Ank Bijleveld benoemd als lid raad van toezicht Nederlandse Reisopera
'Verjonging en verkleuring zorgen voor meer perspectieven'