Een organisatie beschermen tegen cyberaanvallen en het waarborgen van compliancy staan steeds hoger op de agenda van het bestuur van organisaties. Desondanks zien bestuursleden nog vaak een kritieke schakel over het hoofd: hun eigen rol met betrekking tot gevoelige bedrijfsinformatie.
RvB’s, RvC’s en andere directieleden hebben – veel vaker dan andere collega’s – dagelijks te maken met informatie over overnames, onderhandelingen, beloningsregelingen, strategische plannen en financiële- en klantgegevens. Dit soort gevoelige informatie wordt vaak routinematig gedeeld met senior executives, via bijvoorbeeld onbeveiligde e-mail of hardcopy per koerier. Risico ligt dus al snel op de loer. Hoe staat het er eigenlijk voor met de compliancy- en security-processen in de boardroom?
Goed geregeld
Bij de meeste organisaties zijn deze processen in de loop der jaren goed geregeld. Het struikelpunt is echter dat de boardroom vaak ‘boven’ de organisatie staat, waardoor het is uitgesloten van security-processen, die wél van toepassing zijn op ieder ander deel van het bedrijf. Hoewel de cio zorgdraagt voor de vereisten op het gebied van cybersecurity en compliancy binnen de organisaties, worden deze aspecten voor de board nog vaak gezien als een verantwoordelijkheid voor de bestuurssecretaris. Er wordt al snel veronderstelt dat dit buiten het takenpakket van de cio valt. Maar bij wie de verantwoordelijkheid nu echt ligt, is vaak onduidelijk.
Een ander punt is dat oplossingen om gegevens op te slaan en uit te wisselen uiteraard veiligheid moeten bieden, maar dat het ook bruikbaar moet zijn. Dit kan een compromis tussen gebruiksgemak en effectiviteit betekenen. Niemand zal graag regeltjes willen opleggen aan de directieleden binnen een bedrijf of hen een systeem opdringen waar zij niet goed mee overweg kunnen. Dit heeft wel als gevolg dat directieleden vaak de vrijheid hebben om vertrouwelijke informatie uit te printen, op te slaan of te delen op de manier die zij prettig vinden. Het is duidelijk dat er hierbij grote kans is op een data-lek of dat informatie wordt opgeslagen op een onveilige locatie. Maar er is ook een ander risico: welke boodschap geef je af met een dergelijke ‘laksheid’ van het bestuur op het gebied van beveiliging, terwijl de cio verkondigt dat security een zaak én verantwoordelijkheid is van iedereen?
Punten ter overweging
Informatie op directieniveau moet worden onderworpen aan dezelfde strenge veiligheidscontroles als alle andere gegevens. Vier punten ter overweging:
1. Weet je op ieder moment waar jouw vertrouwelijke gegevens zich bevinden? Is de data veilig, of ligt het, vergeten, als een stapel papier op de achterbank van een taxi? Het is belangrijk dat digitale gegevens worden gecodeerd, zowel tijdens het versturen (met behulp van 128-bit ssl/tls-encryptie), als in opslag (met behulp van 256-bit encryptie om hack pogingen af te schrikken), en dat de gegevens alleen toegankelijk zijn met een digitale sleutel. Papier kan het beste volledig vermeden worden.
2. Wie controleert die digitale sleutels? Wat is het protocol wanneer er een wachtwoord wordt gestolen? Een veilig systeem zal in staat zijn om de toegang centraal te weigeren als dit gebeurt.
3. Wie heeft toegang tot je bestuursrapporten? Alleen de bestuursleden, of kunnen er andere mensen bij jouw gegevens? Dit is met name relevant wanneer er papieren rapporten worden verstrekt aan bestuursleden die ook directielid zijn bij andere bedrijven. Digitale tools moeten in staat zijn om wisselende toegangsrechten toe te wijzen aan verschillende mensen, afhankelijk van het niveau van de informatie die zij mogen inzien.
4. Wanneer informatie digitaal verzonden wordt – bijvoorbeeld als pdf via beveiligde email – wat gebeurt er dan wanneer het de ontvanger bereikt? Als het antwoord is dat het uitgeprint wordt en meegenomen wordt naar de vergadering (dit gebeurt in veel gevallen, helaas), dan zijn we weer terug bij vraag één.
Plek op de agenda
Security moet een vaste plek op de agenda van de vergaderingen van de directie en het senior management innemen. Het is één van de meest urgente problemen waar bedrijven vandaag de dag mee te maken hebben. Daarnaast moet de organisatie, inclusief de boardroom, voldoen aan wet- en regelgeving met betrekking tot data en opslag. Het zetten van die laatste stap – het nemen van de eigen verantwoordelijkheid met betrekking tot security en compliancy van de board – moet in 2015 topprioriteit zijn.
Een goede kennis van mij zei ooit: “Pas als de oude garde uit de besturen verdwijnen en de nieuwe generatie de plek innemen die strategie, tactiek EN operatie (conceptueel) begrijpen dan pas wordt het mogelijk om sprongen te maken met betrekking tot de informatiebeveiliging van organisaties.”
Een andere goede kennis van mij zei ooit: “Wat is de belangrijkste taak van de rijksoverheid?” “De landsgrenzen bewaken!”.
Het primaire doel van een bestuur (zou moeten zijn/is) om er voor te zorgen dat de organisatie in de toekomst nog bestaat/kan opereren. Als zij hun opsec (operational security zoals bijvoorbeeld encryptie) niet op orde hebben dan is er dus Business Continuïty Risk voor de gehele organisatie waar zij aansprakelijk voor zijn!
Ik zou pleiten dat informatiebeveiliging zeker op de agenda moet komen, maar alleen als onderdeel van BCP.
Waarom BCP? Omdat als er niet goed om wordt gegaan met Risk (met daaronder Information Security), Compliance en bijvoorbeeld Disaster Recovery de continuïteit van de organisatie in het geding komt. Daar is die veerkracht voor nodig.
Voor wat betreft je opmerking over papier, het is denk ik afhankelijk van het doel. Digitale zaken laten zich toch gemakkelijker op afstand benaderen (nog even los van het feit of het leesbaar is of niet). Zodra een document ontsleuteld wordt is de sleutel ergens in het geheugen beschikbaar, zij het verborgen, en is het alsnog benaderbaar.
Qua papier is DLP iets lastiger, vooral het opnieuw innemen van rechten. Voor zowel papier als digitaal horen er gewoon duidelijke principes te zijn die ook nog eens toepasbaar zijn.
Compliance en cybersecurity zijn twee verschillende dingen, er is overlap maar dan hebben we het vooral over de maatregelen. Invulling van de informatiebeveiliging met opsomming is daar één van hoewel we binnen de complaince niet moeten vergeten dat deze vooral ook vindbaar moet zijn. Goede archivering blijkt nog lastig door de snelheid van digitaliseren, de anarchistische governance modellen met dropbox zijn wel mobiel maar niet altijd wenselijk.
IT is nu eenmaal een strategisch vehikel in deze moderne tijd en maatschappij. Daarbij behoort, maar volgens mij was dat gewoon al een standaard voor elke IT professional, basale kennis en minstens de perceptie van veilig en veligheid, STANDAARD, op het netvlies.
Wij weten, vanuit gepubliceerde praktijk gevallen, slechts topjes van vele ijsbergen, dat dit laatste hier dus niet is. Daar heb je dan meteen de angel van je probleem.
We zouden moeten weten dat cybercrime, jammergenoeg, fact of life is en dat dat gewoon als standaard moet staan in de IT keten, dus ook in de bestuurskamer of op de MT tafel. Als dat niet het geval is, nu nog, is dat ronduit gewoon dom en/of incompetent.
Het is natuurlijk leuk te lezen wie wat vind betreffende de uitvoering van security in de praktijk. Alles valt of staat met de standaard perceptie dat dit aspect voor elke IT professional op het netvlies gegrift moet staan. Daarna komt dit aspect al standaard bij elke gebruiker mandetoir en uiteraard ook hoog in de top.
Keep things simple zou ik zeggen en voed je gebruikers op dit aspect mede op.
Datasegregatie kan veel problemen oplossen, zie bijvoorbeeld https://www.wuala.com/FreemoveQuantumExchange/Aspects/Security/Programs/ChannelCodingExamples/OpenVPN-NL/sharing_secrets.pdf
Daarnaast kan wetgeving ook een rol spelen, zie bijvoorbeeld VIRBI in https://www.wuala.com/FreemoveQuantumExchange/Aspects/Law
Mijn ervaring als ICT’er is dat hogre managers de meeste weerstand hebben tegen security maatregelen. Het begrip voor de noodzaak is er wel, maar ze willen persoonlijk niet deelnemen aan een beter beveiligde syteemongeving, laat staan dat ze hun gedrag veranderen willen. Op een enkele uitzondering ervaar ik ook dat het psychologische effect van macht en willen regeren over anderdn mede een rol speelt in deze weerstand.