Een organisatie beschermen tegen cyberaanvallen en het waarborgen van compliancy staan steeds hoger op de agenda van het bestuur van organisaties. Desondanks zien bestuursleden nog vaak een kritieke schakel over het hoofd: hun eigen rol met betrekking tot gevoelige bedrijfsinformatie.
RvB’s, RvC’s en andere directieleden hebben - veel vaker dan andere collega’s - dagelijks te maken met informatie over overnames, onderhandelingen, beloningsregelingen, strategische plannen en financiële- en klantgegevens. Dit soort gevoelige informatie wordt vaak routinematig gedeeld met senior executives, via bijvoorbeeld onbeveiligde e-mail of hardcopy per koerier. Risico ligt dus al snel op de loer. Hoe staat het er eigenlijk voor met de compliancy- en security-processen in de boardroom?
Goed geregeld
Bij de meeste organisaties zijn deze processen in de loop der jaren goed geregeld. Het struikelpunt is echter dat de boardroom vaak 'boven' de organisatie staat, waardoor het is uitgesloten van security-processen, die wél van toepassing zijn op ieder ander deel van het bedrijf. Hoewel de cio zorgdraagt voor de vereisten op het gebied van cybersecurity en compliancy binnen de organisaties, worden deze aspecten voor de board nog vaak gezien als een verantwoordelijkheid voor de bestuurssecretaris. Er wordt al snel veronderstelt dat dit buiten het takenpakket van de cio valt. Maar bij wie de verantwoordelijkheid nu echt ligt, is vaak onduidelijk.
Een ander punt is dat oplossingen om gegevens op te slaan en uit te wisselen uiteraard veiligheid moeten bieden, maar dat het ook bruikbaar moet zijn. Dit kan een compromis tussen gebruiksgemak en effectiviteit betekenen. Niemand zal graag regeltjes willen opleggen aan de directieleden binnen een bedrijf of hen een systeem opdringen waar zij niet goed mee overweg kunnen. Dit heeft wel als gevolg dat directieleden vaak de vrijheid hebben om vertrouwelijke informatie uit te printen, op te slaan of te delen op de manier die zij prettig vinden. Het is duidelijk dat er hierbij grote kans is op een data-lek of dat informatie wordt opgeslagen op een onveilige locatie. Maar er is ook een ander risico: welke boodschap geef je af met een dergelijke ‘laksheid’ van het bestuur op het gebied van beveiliging, terwijl de cio verkondigt dat security een zaak én verantwoordelijkheid is van iedereen?
Punten ter overweging
Informatie op directieniveau moet worden onderworpen aan dezelfde strenge veiligheidscontroles als alle andere gegevens. Vier punten ter overweging:
1. Weet je op ieder moment waar jouw vertrouwelijke gegevens zich bevinden? Is de data veilig, of ligt het, vergeten, als een stapel papier op de achterbank van een taxi? Het is belangrijk dat digitale gegevens worden gecodeerd, zowel tijdens het versturen (met behulp van 128-bit ssl/tls-encryptie), als in opslag (met behulp van 256-bit encryptie om hack pogingen af te schrikken), en dat de gegevens alleen toegankelijk zijn met een digitale sleutel. Papier kan het beste volledig vermeden worden.
2. Wie controleert die digitale sleutels? Wat is het protocol wanneer er een wachtwoord wordt gestolen? Een veilig systeem zal in staat zijn om de toegang centraal te weigeren als dit gebeurt.
3. Wie heeft toegang tot je bestuursrapporten? Alleen de bestuursleden, of kunnen er andere mensen bij jouw gegevens? Dit is met name relevant wanneer er papieren rapporten worden verstrekt aan bestuursleden die ook directielid zijn bij andere bedrijven. Digitale tools moeten in staat zijn om wisselende toegangsrechten toe te wijzen aan verschillende mensen, afhankelijk van het niveau van de informatie die zij mogen inzien.
4. Wanneer informatie digitaal verzonden wordt - bijvoorbeeld als pdf via beveiligde email - wat gebeurt er dan wanneer het de ontvanger bereikt? Als het antwoord is dat het uitgeprint wordt en meegenomen wordt naar de vergadering (dit gebeurt in veel gevallen, helaas), dan zijn we weer terug bij vraag één.
Plek op de agenda
Security moet een vaste plek op de agenda van de vergaderingen van de directie en het senior management innemen. Het is één van de meest urgente problemen waar bedrijven vandaag de dag mee te maken hebben. Daarnaast moet de organisatie, inclusief de boardroom, voldoen aan wet- en regelgeving met betrekking tot data en opslag. Het zetten van die laatste stap - het nemen van de eigen verantwoordelijkheid met betrekking tot security en compliancy van de board - moet in 2015 topprioriteit zijn.
