Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
Cyberrisico is bedrijfsrisico
Bedrijfsrisico is de verantwoordelijkheid van de raad van bestuur. Didier Wellens, Senior Consultant, Approach, stelt voor dat we ons laten inspireren door de Amerikaanse cyber savvy-boards. Hij legt uit.
“In mijn praktijk spreek ik niet alleen CEO’s aan, maar ook raden van bestuur, raden van commissarissen en raden van bestuur, volgens de laatste versie van de Belgische corporate governance code. Cyberrisico’s zijn, vanwege de ernst van hun mogelijke gevolgen, bedrijfsrisico’s; ze gaan dus verder dan de uitsluitende verantwoordelijkheid van de CEO en betreffen de raad van bestuur.“
De toon is gezet. Cybersecurity stelt corporate governance voor nieuwe uitdagingen, zegt Didier Wellens, Senior Consultant, Approach, die nu veel bedrijven bijstaat in hun aanpak van cybersecurity vanuit een governanceperspectief. De aanpak is complex. Ten eerste vanwege de aard van cyberbeveiliging zelf. “De traditionele instrumenten van het bestuur zijn adequaat; het onderwerp cybersecurity komt echter niet op de bestuurstafel!”
Stop met inzetten op all-techno!
“Vergis je niet, dit is een zakelijke kwestie, geen technologische. Bestuurders moeten cybersecurity begrijpen en aanpakken als een bedrijfsbrede risicomanagementkwestie… niet alleen een IT-kwestie.”
Dit is duidelijk de eerste moeilijkheid, zegt Didier Wellens. Het blijft verbazingwekkend om te zien hoeveel bedrijven informatiebeveiliging of cyberveiligheid nog steeds associëren met IT. Het klopt dat de meeste meldingen van beveiligingsincidenten afkomstig zijn van IT, maar dit is niet het enige punt van zorg, want de impact is voelbaar in de hele organisatie. De vaardigheden die nodig zijn om risico’s te beheren en problemen aan te pakken, moeten daarom op het niveau van de hele organisatie liggen. Het bestuur moet begrijpen dat alleen op technologie vertrouwen een grote fout is. Dit is de onderliggende oorzaak van veel grote inbreuken.
De verklaring ligt in de aard van de risico’s zelf. In het verleden werd algemeen aangenomen dat mensen zich achter muren konden verschuilen om zich tegen gevaar te beschermen. In cyberspace hebben die muren de vorm van firewalls, encryptiesleutels en perimeterbeveiliging. “Maar vandaag weten we dat deze middelen niet langer volstaan! Een raad van bestuur moet accepteren dat aanvallen uit cyberspace kunnen komen, niet alleen van de concurrentie. Daarom moet hij zijn risicobereidheid bepalen en plannen maken om mogelijke aanvallen op te sporen, erop te reageren en de mogelijke schade te herstellen.”
Voor het bestuur gaat het om een reeks concrete vragen. Wat voor soort gegevens hebben we en in hoeverre moeten die worden beschermd? Welke wet- en regelgeving is van toepassing? Wat zijn de risico’s en hoe groot is de kans dat ze zich voordoen? Hoe kunnen we deze risico’s voorkomen en hoe kunnen we ons ertegen beschermen? Hoe kunnen we snel vaststellen dat er cyberaanvallen hebben plaatsgevonden? En hoe kunnen we de schade gericht en volledig herstellen? Het is aan de raad van bestuur om te beslissen of hij het management al dan niet opdracht geeft passende maatregelen te nemen.
Wanneer komen er Cyber Savvy bestuurders in Europa?
De aanpak van het onderwerp blijft delicaat. Vooral in onze landen. Weinig bedrijven hebben immers ten minste één bestuurslid met kennis van cyberbeveiliging, terwijl 35% van de grootste Amerikaanse bedrijven de stap hebben gezet… “Om zijn opdracht te vervullen kan de raad mensen uitnodigen die geen bestuurder van het bedrijf zijn om mee te denken. Dit voorkomt dat er deskundigen in het bestuur worden benoemd. Het benoemen van één deskundige per type risico is eenvoudigweg niet beheersbaar…”
De Amerikanen spreken van Cyber Savvy Directors, gezien de omvang van het digitale fenomeen. Voor een deel begint effectief cyber security management bij de top, waarbij het bestuur erkent wat het moet beheren en hoe het dat gaat doen, inclusief welke extra middelen het nodig heeft. Hoewel het bestuur de eindverantwoordelijkheid draagt voor de strijd tegen cyberdreigingen, moet iedereen op elk niveau van de organisatie zijn rol in de frontlinies van deze voortdurende oorlog begrijpen, aangezien bedreigingen overal vandaan kunnen komen.
In zijn Top Security and Risk Trends for 2021 moedigt Gartner de oprichting van cyber-savvy councils aan. Kortom, een speciale commissie die zich richt op het bespreken van cyberbeveiligingskwesties. Deze commissie wordt vaak geleid door een bestuurslid met beveiligingservaring of een externe adviseur. Gartner voorspelt zelfs dat tegen 2025 40% van de raden van bestuur een speciaal cyberbeveiligingscomité zal hebben onder toezicht van een gekwalificeerd bestuurslid, tegenover minder dan 10% nu. Een dergelijk comité kan de hele keten binnen een organisatie motiveren om cybersecurity als ieders verantwoordelijkheid te zien, en een visie bieden die door iedereen kan worden gevolgd.
De druk op raden van bestuur neemt toe
Hoewel raden van bestuur al echte toezichthoudende bevoegdheden hebben, oefenen ze die niet uit als het gaat om cyberbeveiliging en geven ze er de voorkeur aan om de behandeling van deze kwestie buiten hun kring te delegeren, merkt Didier Wellens op. “Ik vind het niet de rol van het bestuur om de organisatie te adviseren over de ‘extra beschermingslagen die nodig zijn’. Dat is een te technische vraag. Aan de andere kant moeten ze wel expliciet zijn over hun verwachtingen ten aanzien van digitale risico’s…”
Maar hoe kan dit worden versneld? Een optie, vergelijkbaar met de nieuwe verordening in Californië die vrouwelijke vertegenwoordiging in raden van bestuur verplicht stelt, zou een verordening kunnen zijn die het probleem van cyberveiligheid aanpakt door bedrijven te verplichten cyberveiligheidsspecialisten in hun raden van bestuur aan te werven. Zullen we er komen?
De druk op de raden van bestuur van grote internationale ondernemingen neemt toe naarmate de cyberdreiging toeneemt. Tot vijf jaar geleden werd cyberrisico door bestuurders niet altijd als een toezichtprioriteit beschouwd. Nu ziet de overgrote meerderheid het als een belangrijk punt, waarbij cyberrisico wordt beschouwd als een van de grootste risico’s voor de bedrijfsvoering en het bedrijfsmodel van een organisatie.
In de VS zijn twee aanbevelingen naar voren gekomen. Eén: benoem een Cyber Savvy Director. Twee: richt een comité voor technologie en cyberbeveiliging op om het werk van de raad van bestuur op dit gebied voor te bereiden. “In de Verenigde Staten zou een bedrijf dat deze twee aanbevelingen in praktijk brengt, zijn voordeel kunnen doen en zijn waarde gewaardeerd zien door financiële analisten….”. Het is een zeer Angelsaksische logica die vertrouwt op de markt om te reguleren,” zegt Didier Wellens. De Amerikanen reguleren via de markt, de Europeanen reguleren via richtlijnen!
In de geest van de NIS-richtlijn2
De terminologie om deze aanpak te benoemen is “toezicht op cyberrisico’s”. Ten slotte is het een goede gewoonte van raden van bestuur die zich zorgen maken over cyberveiligheid. “Ik geloof in de deugd van het voorbeeld van de top. Toon aan de top”, zoals de Angelsaksen zeggen!
Het is duidelijk dat cyberbeveiliging niet langer een IT-kwestie is, maar een strategische noodzaak. Zij moet voortdurend worden aangepast aan de innovatie van het bedrijf, aan nieuwe aanvallen, aan de behoeften van de werknemers en aan de eisen van de klanten. Om dit goed te doen, moet het onafhankelijk zijn van de IT-afdeling; de raad van bestuur moet rechtstreeks en regelmatig worden betrokken bij strategieën en beslissingen inzake cyberbeveiliging.
In artikel 17 van de NIS-richtlijn2 inzake netwerk- en informatiebeveiliging2 wordt deze ontwikkeling duidelijk aangegeven. Ten eerste door het belang te specificeren van toezicht op risicobeheersmaatregelen door de beheersorganen; ten tweede door regelmatig specifieke opleidingen te beoordelen om voldoende kennis en vaardigheden te verwerven om risico’s op het gebied van cyberbeveiliging te begrijpen en te beoordelen.
Meer dan een Powerpoint!
We mogen niet uit het oog verliezen dat de belangrijkste beperking voor raden van bestuur de tijd is, herinnert Didier Wellens ons eraan. Gemiddeld vergadert een raad van bestuur vijf halve dagen per jaar. Tegelijkertijd kan het cyberteam van een bedrijf alleen effectief zijn als de raad van bestuur duidelijk is over zijn risicobereidheid en het maximale risiconiveau dat het bedrijf bereid is te nemen om zijn strategische doelstellingen te bereiken. Uitgebreide informatie over angsten (kwaadwillende werknemers, overheidsspionage, enz.) en risicotolerantie (thuiswerken, webportalen voor klanten, enz.) zal cyber security managers in staat stellen effectief werk te leveren dat is afgestemd op de verwachtingen van het management.
Het is belangrijk op te merken dat de metrieken die cyberteams gebruiken om de veerkracht en de cyberbeveiligingshouding van de organisatie te beoordelen, meestal niet rechtstreeks overdraagbaar zijn naar een zakelijke aanpak. Het weergeven van de lijst en het aantal geblokkeerde aanvallen op een PowerPoint-presentatie ziet er goed uit, maar levert in de praktijk weinig waarde op voor het gesprek.
Menselijke fouten, altijd!
“Wat het beste werkt, is een kleine selectie van bijzonder begrijpelijke en relevante indicatoren te introduceren en mensen te helpen deze te waarderen,” zegt Didier Wellens. Het voorbeeld dat ik altijd gebruik is de ‘phishing click rate’. Een interne phishingcampagne is een goede basis om medewerkers voor te bereiden op allerlei bedreigingen.
90% van de cyberaanvallen komt namelijk voort uit menselijke fouten. Malware, virussen, Trojaanse paarden… Het begint allemaal met een klik op een slechte link. Phishing-simulaties helpen dit foutenpercentage aanzienlijk te verminderen door werknemers een solide basis te bieden. “Door ze bloot te stellen aan verschillende vormen van phishing, in een veilige en gecontroleerde omgeving, leren ze de gevaren herkennen die zich in de echte wereld kunnen voordoen.”
De missies van de Cyber Savvy Directeur (bron: Gartner)
Cyberbeveiligingsstrategie. Een strategische visie en tactisch/operationeel plan om vooruit te komen kan bedrijfsmiddelen proactief beschermen en zich aanpassen aan opkomende cyberdreigingen en veranderende regelgeving.
Evaluatie van het beleid. Het beleid en de praktijken van het bedrijf op het gebied van cyberbeveiliging, evenals de rollen en verantwoordelijkheden, moeten worden geëvalueerd om ervoor te zorgen dat ze up-to-date zijn en geschikt om de organisatie te beschermen. Naast de beleidsherziening moet de raad van bestuur het budget voor cyberbeveiliging en privacy herzien om ervoor te zorgen dat deze initiatieven naar behoren worden gefinancierd.
Geef het goede voorbeeld. Het cyberbeveiligingsbeleid moet worden gehandhaafd en ondersteund door het bedrijfsmanagement, dat een bedrijfsbreed plan voor het beheer van cyberrisico’s moet kunnen communiceren, waarbij alle werknemers worden betrokken.
Bedrijfscontinuïteit. Het bestuur moet toezien op de ontwikkeling van een uitgebreid incident response plan dat de veerkracht en continuïteit van het bedrijf garandeert, zelfs tijdens een cyberaanval. Het plan moet breed worden begrepen en gedrild.
Voortdurende controle en evaluatie. De raad van bestuur moet periodiek de controles en capaciteiten van de organisatie op het gebied van cyberbeveiliging controleren en evalueren, en zich aanpassen aan nieuwe externe kwetsbaarheden en bedreigingen.
Cyberbeveiligingsbewustzijn. Het bestuur moet ervoor zorgen dat het bedrijf een uitgebreid opleidingsprogramma voor cyberbeveiliging uitvoert om een cultuur te bevorderen waarin alle werknemers verantwoordelijkheid nemen voor cyberbeveiliging.