Helaas: dé oplossing om alle problematiek rondom cybersecurity weg te werken, is nog niet gevonden. Tot die tijd is het dus belangrijk dat het onderwerp hoog op de agenda staat, in alle lagen van een organisatie. Dus ook in de bestuurskamer.

Een gelaagde defensie, dat is wat een organisatie nodig heeft om goed voorbereid te zijn op een cyberaanval.

"Natuurlijk heb je een firewall, maar je moet je ook realiseren dat hoe stevig die deur ook is: cybercriminelen kunnen er langs. En voor het geval dat gebeurt, moet je een aantal maatregelen klaar hebben liggen, die binnen alle lagen van de organisatie prioriteit hebben", zegt Tom-Martijn Roelofs, director Cyber Security bij Deloitte.

Verantwoordelijkheid

"Niet de IT-afdeling is verantwoordelijk voor die maatregelen, maar uiteindelijk de raad van bestuur", zegt Roelofs. "En niet een iemand in die raad, maar de gehele Raad van Bestuur moet die verantwoordelijkheid nemen."

"Anders krijg je namelijk dat de persoon die verantwoordelijk is voor IT, de strijd moet aangaan met andere bestuurders die andere businessvoorstellen hebben. Dat is niet het juiste perspectief. Datasecurity raakt het hele bedrijf, daarom moet het ook met enige regelmaat op de agenda staan bij bestuursvergaderingen."

Tone at the top

Roelofs signaleert dat dat al steeds vaker gebeurt. "De tone at the top is ontzettend belangrijk. In het verleden werd er nogal eens met een zeker dedain over techniek gesproken, ook omdat het niet allemaal werd begrepen. Maar als je door een gebrek aan kennis de discussie over dit onderwerp in de bestuurskamer niet aangaat, maak je een grote fout. Gelukkig weten goede bestuurders inmiddels dat die techniek zo in de haarvaten van het bedrijf zit, dat je de verantwoordelijkheid daarvoor niet alleen aan de systeembeheerder kunt overlaten."

En dat is maar goed ook, want het dreigingsprofiel is de afgelopen jaren nogal veranderd. "Vroeger was de grootste bedreiging dat je een generiek virus kon binnenhalen, tegenwoordig zie je steeds vaker supergerichte aanvallen op bedrijven."

Dreigingsprofiel

Je systeem honderd procent beveiligen is niet mogelijk, zegt Roelofs. "Maar je moet als bestuurder wel goed zicht hebben op de risico's die je loopt en wilt lopen. Je eigen dreigingsprofiel kan misschien wel laag zijn, maar je moet ook kijken naar de keten waar je in zit. Er zijn voorbeelden genoeg van bedrijven waar een lek ontstond als gevolg van malware bij een organisatie waar ze intensief mee samenwerkten."

Deloitte zet zich er al jaren in een internationale werkgroep voor in om dit onderwerp hoog op de agenda van CEO's en andere leden van de raad van bestuur te krijgen. Ook heeft het bedrijf een leergang ontwikkeld met betrekking tot cybersecurity voor raden van bestuur en raden van commissarissen.

It-expert

Door als raad van bestuur uit te dragen dat je bezig bent met het onderwerp, krijgt cybersecurity eerder binnen de gehele organisatie een zekere urgentie. Roelofs: "Je kunt niet van iedereen binnen je organisatie verwachten dat hij of zij een it-expert is, maar het is wel belangrijk dat het gehele personeel zich bewust is van de risico's. Nog steeds zijn er medewerkers die hun inloggevens zomaar aan derden geven."

Roelofs' boodschap is helder: door over dit onderwerp te communiceren namens de raad van bestuur, worden werknemers zich beter bewust van de risico's. "Zij zullen incidenten met betrekking tot cybersecurity dan ook veel sneller opmerken, waardoor schade misschien beperkt kan blijven. Als je ervoor zorgt dat bewustzijn met betrekking tot dit onderwerp in de haarvaten van het bedrijf komt te zitten, verklein je de risico's die je loopt enorm."

Deloitte geeft trainingen en workshops over dit onderwerp aan leden van de raad van bestuur. Meer weten? Neem contact op met Tom-Martijn Roelofs (troelofs@deloitte.nl, +31610999455) of volg hem op LinkedIn.