We zijn ‘hyperconnected’: Mensen zijn de hele dag online, maar ook auto's, ziekenhuisapparatuur en andere machines maken gebruik van de technologische mogelijkheden. Dat heeft ons gelukkig veel goeds gebracht. Maar maakt ons ook kwetsbaar en daar moeten we iets aan doen.

Een telecombedrijf dat een paar dagen geen netwerk beschikbaar heeft, kan bedrijven en ziekenhuizen lamleggen en maakt essentiële zaken onbestuurbaar. Juist bedrijven in de telecom- en techologiesector zouden dus de handschoen op moeten pakken om iets aan die onzekerheid te doen, zo vindt Deloitte. "Dit zijn de bedrijven die het internet hebben gemaakt, het is dus ook hun verantwoordelijkheid dat dit op een veilige manier in de samenleving functioneert ", zegt Jacques Buith, managing partner bij Deloitte.

"Sommigen zeggen dat je dit alleen met wet- en regelgeving kunt aanpakken. Maar wij denken dat je dan niet de best mogelijke situatie krijgt. Bedrijven zullen voldoen aan de regels, maar ook niet meer dan dat. Dan kom je dus op een 6 uit. Terwijl veiligheid en betrouwbaarheid van dit soort bedrijven essentieel is. Een 10 moet het streven zijn."

Risicomanagement

Al een paar jaar reist Buith de hele wereld over om met grote spelers als Microsoft, British Telecom, Visa, Fujitsu tot afspraken te komen over cyber risk management. Voor het World Economic Forum leidt hij namens Deloitte de projectgroep Risk en responsibility in a hyperconnected world.

De gemaakte afspraken werden in een intentieverklaring vastgelegd in januari 2012, bij het World Economic Forum in het Zwitserse Davos, waar wereldleiders en directieleden van de grootste bedrijven ter wereld jaarlijks samenkomen om te praten over de economische en maatschappelijke uitdagingen in de wereld.

Die intentieverklaring, opgesteld onder leiding van Deloitte, bestaat uit vier principes, Buith: "Het eerste principe is dat we moeten erkennen dat we allemaal met elkaar verbonden en dus ook van elkaar afhankelijk zijn. Als je dat als bedrijf erkent moet je dat ook duidelijk maken aan alle partijen in je keten: van je leveranciers tot je klanten."

Het tweede principe is dat de leider van een bedrijf of van een land altijd de verantwoordelijke is voor cyber risk management. "Je ziet vaak dat ergens weggestopt bij de it-afdeling een security officer zit, die het risicomanagement misschien zelfs heeft uitbesteed. Als je als leider altijd verantwoordelijk neemt, laat je zien dat je de risico's serieus neemt."

Niet los van elkaar

Op tientallen zo niet honderden vlakken loopt een bedrijf risico. "Al die risico's moet je niet los van elkaar gaan managen", zegt Buith. "Ze stáán namelijk niet los van elkaar. De cyberrisico's zijn een integraal onderdeel van de totale bedrijfsrisico's. Ons derde principe is dan ook integrated risk management. Alle verschillende risico's worden misschien in eerste instantie besproken op verschillende afdelingen, maar uiteindelijk moeten ze ook in de Raad van Bestuur aan de orde komen."

Het vierde principe is Promote uptake. Organisaties moeten ervoor zorgen dat de eerder genoemde principes worden overgenomen door de hele keten waarmee zij werken. "Als je dus zaken doet met een leverancier ga je eisen dat hij ook volgens deze principes gaat werken. Wanneer hij dat niet doet, kun je ervoor kiezen met iemand anders in zee te gaan."

Verschillende bedrijven ondertekenden de intentieverklaring al, maar daarmee is het werk van Buith nog niet gedaan: de principes moeten worden omgezet in richtlijnen. Hij blijft voorlopig dus nog wel de wereld rondreizen om de boodschap van Deloitte te verspreiden. Buith: "Uiteindelijk moeten we komen tot concrete afspraken over hoe we in de dagelijkse praktijk invulling gaan geven aan die principes. Als je als bedrijf die richtlijnen dan omarmt, weet je dat je een bijdrage levert aan een veiliger en minder kwetsbare wereld."