Het voorkomen van aanvallen door hackers, overheidsinstanties en terroristen wordt ook steeds meer gezien als een belangrijk onderdeel van de ‘sociale’ component van ESG-prestaties – niet in het minst vanwege de bredere impact die een cyberbeveiligingsaanval kan hebben op de samenleving en klanten. Als u een bank runt, kan een aanval ernstige gevolgen hebben voor het vermogen van het publiek om toegang te krijgen tot belangrijke financiële diensten. Als u een organisatie in de gezondheidszorg leidt, kan een inbreuk leiden tot de diefstal van vertrouwelijke persoonsgegevens en grote gevolgen hebben voor de verlening van vitale diensten. Als u een energiebedrijf runt, zoals eerder dit jaar in de VS gebeurde, kan een aanval de diensten lamleggen die ons dagelijks leven van energie voorzien.
Aangezien dit soort incidenten jaar na jaar toeneemt, is het geen verrassing dat doeltreffende cyberbeveiliging steeds vaker wordt beschouwd als een belangrijke indicator van de veerkracht en maatschappelijke verantwoordelijkheid van een bedrijf. Maar hoe ziet goed bestuur op het gebied van cyberbeveiliging eruit? En hoe kunnen besturen bewijzen dat veiligheid serieus genomen wordt en plannen hebben voor alle eventualiteiten?
Minimumvereisten
De besturen van vandaag zouden aan partners, toezichthouders en hun eigen organisatie moeten kunnen aantonen dat zij over de nodige basiskennis beschikken:
- Inzicht in cyberbeveiligingsrisico’s op het niveau van individuele bestuurders
- Sterk toezicht van het bestuur op een robuuste en goed doordachte cyberbeveiligingsstrategie
- Plannen voor rampenherstel met noodvoorzieningen om diensten te helpen snel te herstellen
- Bewijs dat zij inspanningen hebben geleverd om deskundigen en adviseurs op het gebied van cyberbeveiliging te werven
- Processen om ervoor te zorgen dat cyberrisico’s worden geïntegreerd met bedrijfsrisico’s
Al deze elementen zijn van vitaal belang als besturen willen voldoen aan de eisen van externe controle-instanties en hun organisatie willen beschermen tegen potentieel catastrofale bedreigingen.
Dit is echter geen statische situatie. Besturen moeten ook laten zien dat zij wendbaar genoeg zijn om hun strategieën aan te passen aan veranderende omstandigheden, nieuwe dreigingen en veranderingen in werkpatronen die het beveiligingslandschap ingrijpend kunnen veranderen.
De gevolgen van de pandemie en de opkomst van hybride werken
De lessen van Covid 19 zijn hier een perfect voorbeeld van. Onlangs hebben de meeste organisaties als reactie op de pandemie op grote schaal voor hybride werken gekozen. In veel opzichten is dit een positieve stap geweest, die heeft bijgedragen tot een hogere productiviteit en een grotere tevredenheid van de werknemers. Het is echter ook duidelijk dat hybride werken organisaties blootstelt aan een verhoogd risico op inbreuken op de beveiliging. Problemen ontstaan doordat gebruikers heen en weer pendelen tussen beveiligde en onveilige netwerken, zich thuis niet houden aan het IT-beveiligingsbeleid, zwakke wachtwoorden gebruiken, ongeautoriseerde persoonlijke apparaten gebruiken, werk-pc’s verbinden met smart home-apparaten en malware op kantoor binnenbrengen wanneer ze weer inloggen op het bedrijfsnetwerk.
Uit een recente enquête van HP Wolf Security blijkt dat 83% van de IT-teams wereldwijd van mening is dat hierdoor een “tikkende tijdbom” is ontstaan voor inbreuken op het bedrijfsnetwerk.
Het gevolg hiervan is dat besturen nu moeten aantonen dat zij plannen hebben om zich tegen nieuwe kwetsbaarheden te beschermen. Zij moeten met name aantonen dat hun organisaties herziene strategieën hebben die rekening houden met nieuwe bedreigingen, met name die in verband met ransomware, e-mailbedreigingen en client-side aanvallen, die allemaal sterk zijn toegenomen in het kielzog van de opkomst van telewerken.
Zij moeten ook laten zien dat zij investeringen ondersteunen in systemen die nodig zijn om een hybride personeelsbestand te beschermen – waaronder veilige VPN’s, multifactorverificatie en endpointmonitoring. Net zo belangrijk is een strategie om de bedrijfscultuur te veranderen. Dit moet plannen omvatten voor opleiding en training van alle werknemers over de specifieke bedreigingen van hybride werken, en uiteindelijk het creëren van een cyberbeveiligingsbewuste cultuur die past bij de moderne, snel veranderende tijden.
Bij Admincontrol hebben we deze kwesties onlangs grondig bestudeerd en hebben we een handboek opgesteld voor directies over hoe u de impact van hybride werken op cyberbeveiliging beheert.