Terug gaan

Hoe ziet goed bestuur op het gebied van cyberbeveiliging eruit?

Het toezicht op cyberbeveiliging staat hoger op de agenda van het bestuur dan ooit tevoren. Eerder dit jaar voorspelde Gartner dat 40% van de raden van bestuur tegen 2025 een speciaal comité voor cyberbeveiliging zal hebben. Dit is met goede reden. Ten eerste kunnen de financiële gevolgen van een aanval enorm zijn. Volgens cijfers van IBM liepen de gemiddelde kosten van een datalek in 2021 op tot 4,24 miljoen dollar per incident – de hoogste in 17 jaar. Er zijn ook sterke aanwijzingen dat de aanvallen in de nasleep van de pandemie toenemen. Alleen al in de eerste zes maanden van 2021 stegen Ransomware-aanvallen met 93%.

9.december 2022
Geschreven door Admincontrol

Het voorkomen van aanvallen door hackers, overheidsinstanties en terroristen wordt ook steeds meer gezien als een belangrijk onderdeel van de ‘sociale’ component van ESG-prestaties – niet in het minst vanwege de bredere impact die een cyberbeveiligingsaanval kan hebben op de samenleving en klanten. Als u een bank runt, kan een aanval ernstige gevolgen hebben voor het vermogen van het publiek om toegang te krijgen tot belangrijke financiële diensten. Als u een organisatie in de gezondheidszorg leidt, kan een inbreuk leiden tot de diefstal van vertrouwelijke persoonsgegevens en grote gevolgen hebben voor de verlening van vitale diensten. Als u een energiebedrijf runt, zoals eerder dit jaar in de VS gebeurde, kan een aanval de diensten lamleggen die ons dagelijks leven van energie voorzien.

Aangezien dit soort incidenten jaar na jaar toeneemt, is het geen verrassing dat doeltreffende cyberbeveiliging steeds vaker wordt beschouwd als een belangrijke indicator van de veerkracht en maatschappelijke verantwoordelijkheid van een bedrijf. Maar hoe ziet goed bestuur op het gebied van cyberbeveiliging eruit? En hoe kunnen besturen bewijzen dat veiligheid serieus genomen wordt en plannen hebben voor alle eventualiteiten?

 

Minimumvereisten

De besturen van vandaag zouden aan partners, toezichthouders en hun eigen organisatie moeten kunnen aantonen dat zij over de nodige basiskennis beschikken: 

  • Inzicht in cyberbeveiligingsrisico’s op het niveau van individuele bestuurders
  • Sterk toezicht van het bestuur op een robuuste en goed doordachte cyberbeveiligingsstrategie 
  • Plannen voor rampenherstel met noodvoorzieningen om diensten te helpen snel te herstellen 
  • Bewijs dat zij inspanningen hebben geleverd om deskundigen en adviseurs op het gebied van cyberbeveiliging te werven 
  • Processen om ervoor te zorgen dat cyberrisico’s worden geïntegreerd met bedrijfsrisico’s

Al deze elementen zijn van vitaal belang als besturen willen voldoen aan de eisen van externe controle-instanties en hun organisatie willen beschermen tegen potentieel catastrofale bedreigingen.

Dit is echter geen statische situatie. Besturen moeten ook laten zien dat zij wendbaar genoeg zijn om hun strategieën aan te passen aan veranderende omstandigheden, nieuwe dreigingen en veranderingen in werkpatronen die het beveiligingslandschap ingrijpend kunnen veranderen.

Al deze elementen zijn van vitaal belang als besturen willen voldoen aan de eisen van externe controle-instanties en hun organisatie willen beschermen tegen potentieel catastrofale bedreigingen.

De gevolgen van de pandemie en de opkomst van hybride werken

De lessen van Covid 19 zijn hier een perfect voorbeeld van. Onlangs hebben de meeste organisaties als reactie op de pandemie op grote schaal voor hybride werken gekozen. In veel opzichten is dit een positieve stap geweest, die heeft bijgedragen tot een hogere productiviteit en een grotere tevredenheid van de werknemers. Het is echter ook duidelijk dat hybride werken organisaties blootstelt aan een verhoogd risico op inbreuken op de beveiliging. Problemen ontstaan doordat gebruikers heen en weer pendelen tussen beveiligde en onveilige netwerken, zich thuis niet houden aan het IT-beveiligingsbeleid, zwakke wachtwoorden gebruiken, ongeautoriseerde persoonlijke apparaten gebruiken, werk-pc’s verbinden met smart home-apparaten en malware op kantoor binnenbrengen wanneer ze weer inloggen op het bedrijfsnetwerk.

Uit een recente enquête van HP Wolf Security blijkt dat 83% van de IT-teams wereldwijd van mening is dat hierdoor een “tikkende tijdbom” is ontstaan voor inbreuken op het bedrijfsnetwerk.

Het gevolg hiervan is dat besturen nu moeten aantonen dat zij plannen hebben om zich tegen nieuwe kwetsbaarheden te beschermen. Zij moeten met name aantonen dat hun organisaties herziene strategieën hebben die rekening houden met nieuwe bedreigingen, met name die in verband met ransomware, e-mailbedreigingen en client-side aanvallen, die allemaal sterk zijn toegenomen in het kielzog van de opkomst van telewerken.

Zij moeten ook laten zien dat zij investeringen ondersteunen in systemen die nodig zijn om een hybride personeelsbestand te beschermen – waaronder veilige VPN’s, multifactorverificatie en endpointmonitoring. Net zo belangrijk is een strategie om de bedrijfscultuur te veranderen. Dit moet plannen omvatten voor opleiding en training van alle werknemers over de specifieke bedreigingen van hybride werken, en uiteindelijk het creëren van een cyberbeveiligingsbewuste cultuur die past bij de moderne, snel veranderende tijden.

Bij Admincontrol hebben we deze kwesties onlangs grondig bestudeerd en hebben we een handboek opgesteld voor directies over hoe u de impact van hybride werken op cyberbeveiliging beheert.