De boardroom paradox rondom cybersecurity
Alleen al in 2014 vonden er meer dan 1500 cyberaanvallen plaats, waarbij in totaal meer dan een miljard gegevensbestanden zijn gestolen, zo stelt onderzoek van Gemalto. Dat is een stijging van 49 procent ten opzichte van 2013. Dit jaar horen we ook de ene na de andere melding. Ziggo, Ashley Madison en Jumbo zijn recente voorbeelden van hacks op de consumentenmarkt.
Onderzoek in de VS van de NYSE onder bestuursleden laat zien dat 35 procent van die bestuursleden ‘cybersecurity’ in elke bestuursmeeting bespreekt, en 46 procent in de meeste meetings. In 20 procent van de gevallen gebeurt dit echter pas reactief, na een cyberaanval. In mijn ervaring vinden veel board members IT-security nog een ‘ver van hun bed show’.
Binnen de meeste organisaties wordt alles op alles gezet om de IT-omgeving zo veilig mogelijk in te richten. Een groot probleem is echter dat de boardroom vaak ‘boven’ de organisatie staat en onvoldoende aangesloten is bij de standaard bedrijfsprocessen. Een bijzondere paradox, want juist de boardroom heeft natuurlijk met de meest bedrijfskritische informatie te maken. Naast het feit dat er meer cyberaanvallen plaatsvinden, worden board members ook vaker direct aangevallen door hackers. Neem de Sony hack, waarbij e-mails tussen de Sony CEO en Snapchat board members en CEO gelekt zijn over de mogelijke overname door Facebook.
Mede door de explosieve toename van cyberaanvallen verschuift de verantwoordelijkheid met betrekking tot security richting de board, of ze dit nu willen of niet. Maar waar nu verantwoordelijkheid geveinsd wordt door af te treden na een aanval, kunnen we ook proactief handelen. Maar hoe kun je jezelf en de organisatie beschermen tegen aanvallen? Belangrijk is het opleiden van medewerkers over hun rol bij het veiligstellen van het bedrijf, en het creëren van een cultuur van veiligheid. Maar deze educatie moet beginnen op directieniveau. Bestuursleden zijn kwetsbaarder dan medewerkers, aangezien ze meer reizen met vertrouwelijke informatie en ze toegang hebben tot de meest bedrijfskritische gegevens. Een oproep aan alle boardmembers: onderken het belang en begin met het nemen van eigen verantwoordelijkheid.
Jesse Thiel, Country Manager Nederland bij Diligent