Verantwoordelijk zijn voor cybersecurity is een ondankbare job, schrijft Mathieu Gorge in zijn nieuwe boek The Cyber Elephant in the Board Room. ‘Als je het goed doet, kent niemand je. Maar ga één keer in de fout en je naam is overal bekend, niet alleen in het bedrijf, maar in de hele sector.’
Gorge is CEO en founder van VigiTrust en met twintig jaar internationale ervaring een autoriteit op het gebied van IT en riskmanagement. Hij vindt dat cyberveiligheid en compliance een ‘teamsport’ zijn, waar het hele C-level aan mee moet doen.
Maar waarom willen de meeste directies daar niet aan? Waarom is niemand op dit niveau geïnteresseerd in cyber-accountability? ‘Omdat dit niet sexy is’, geeft hij als reden, en ‘omdat het intimiderend kan zijn als je geen expert bent’.
Hoe kan je dit veranderen? Door eerst het C-level te informeren over de belangrijkste hacks in hun eigen sector, bij de concurrentie of bij het eigen bedrijf. Dat helpt bij meer bewustwording van de risico’s.
Een stapel persknipsels of links naar persartikelen kan al behoorlijk indrukwekkend zijn, ‘vooral als de directie duidelijk wordt gemaakt dat hier niet alleen de naam van hun bedrijf had kunnen staan, maar ook hun eigen naam’.
Een voorbeeldje uit 2017, de Amerikaanse kredietbeoordelaar Equifax kwam er pas na maanden achter dat er een veiligheidslek was. Hierdoor konden de persoonlijke gegevens worden gestolen van 148 miljoen consumenten. De media pakten het bedrijf hard aan, waarna de aandelen crashten en de CEO, CIO en CISO gedwongen met pensioen mochten gaan.
Voorkomen is beter dan genezen, en in dit geval ook veel goedkoper, want de kosten van het repareren van de (imago)schade door een veiligheidslek zijn torenhoog. Daarom pleit Gorge voor meer samenwerking met de verschillende stakeholders, voor het spreken van dezelfde taal in de boardroom, voor een planmatige aanpak van cyberveiligheid en het opnemen van de verantwoordelijkheid.
Gorge ontwikkelde hiervoor een eenvoudige methode, zonder IT-jargon, die hij het 5 Pillars Security Framework noemt. Deze vijf pijlers omvatten een assessment van:
Fysieke veiligheid gaat over de toegang tot je bedrijf en de toestellen die verbonden zijn met je netwerk. Je kan technisch nog zo’n goed veiligheidssysteem hebben, maar als een onbekende zomaar bij je servers kan komen, dan is dat systeem niets waard.
Datzelfde geldt voor medewerkers die uit wraak een USB-stick kunnen vullen met gevoelige informatie of leveranciers die je klantendatabase kunnen kopiëren. Er zou op z’n minst een alarm moeten afgaan dat iemand bezig is met verdachte activiteiten. En daarbij moet ook zichtbaar zijn waar en op welk toestel dit gebeurt. En wat gebeurt er met laptops die gestolen worden? Is de informatie die hierop staat wel beveiligd?
Hoe werf je nieuwe medewerkers aan? Hoe belangrijk is kennis en begrip van je medewerkers als het gaat over cyberveiligheid? Worden deze mensen getraind om toestellen en data op de juiste manier te gebruiken? In hoeverre is er aandacht voor dit cyberveiligheid bij het management? Weten ze hoe ze moeten omgaan met een interne of externe audit? Hoe ze een verdacht incident moeten rapporteren?
Een onderzoek van Egress dit jaar onder 500 IT-leiders en 5000 medewerkers – ook in de Benelux – gaf aan dat 78% van de leiders denkt dat hun mensen onveilig zijn omgegaan met data en 75% denkt zelfs dat het bewust gebeurde.
Data is het nieuwe goud en dient daarom zeer veel aandacht te krijgen, schrijft Gorge. De juiste data moet op het juiste moment bij de juiste mensen zijn. Wie heeft toegang tot die data? Wie is verantwoordelijk voor het creëren van die gegevens, wie slaat de data op en waar, wie houdt zich bezig met het verwijderen van die data? En dit alles volgens de standaarden en wettelijke eisen?
Bij de infrastructuur is het belangrijk om niet alleen te kijken naar eigen netwerken achter firewalls, maar ook naar de systemen in verschillende vestigingen, van externe leveranciers, diverse applicaties, de clouddiensten en wat er nog bijkomt in het ecosysteem rondom je bedrijf. Deze infrastructuur moet volledig in kaart worden gebracht, zodat de directie begrijpt hoe wijdverspreid dit is.
De directie moet ervan verzekerd zijn dat de organisatie klaar is voor ongelukken, hackers, of andere veiligheidsproblemen. Zeker nu er veel wordt thuisgewerkt, zijn medewerkers kwetsbaar voor hackers en andere veiligheidsproblemen. Kunnen bij ontdekking de juiste veiligheidsmaatregelen worden getroffen zodat het probleem meteen wordt getackeld?
Uit zeer recent onderzoek van Specops onder 1600 zaakvoerders van kmo’s in negen landen bleek dat 71% geen plan of protocol had voor een cyberaanval. En dat 31% niet eens gelooft dat ze een doelwit zijn. ‘Een mythe’, aldus de onderzoekers, want sinds 2017 is 48% van de bedrijven al minstens één keer een doelwit geweest.’
Tot zover de korte introductie van de vijf pijlers van Gorge. Bij elke pijler hoort het beschrijven van het doel, de scope, het beantwoorden van zeer strategische én strategische vragen, het beschrijven van de toegevoegde waarde en de voordelen. En dit staat allemaal volledig uitgewerkt in zijn boek.
Het ultieme doel volgens Gorge is dat cybersecurity en compliance even vaak in de directiemeetings worden besproken als de rapportages over winst en verlies.
The Cyber Elephant in the Board Room, auteur Mathieu Gorge met enkele hoofstukken van gastauteurs, uitgever ForbesBooks/Vigitrust