De laatste jaren zijn steeds meer (grote) organisaties slachtoffer van dataroven en cyberaanvallen. Klantgegevens en andere confidentiële informatie worden op slimme wijze door hackers ontfutseld of komen door onzorgvuldigheid op straat te liggen. Daar komt nog eens bij dat de wet- en regelgeving met betrekking tot persoonsgegevens alsmaar toeneemt.
Dit maakt dat compliance en security twee topics zijn die door de jaren heen steeds belangrijker zijn geworden – zeker voor de it-manager. Ondanks dat de meeste organisaties inmiddels nieuwe richtlijnen en processen hebben opgesteld om de veiligheid en naleving te waarborgen, wordt er nog vaak een cruciale schakel over het hoofd gezien: de rol van de boardroom en/of het management met betrekking tot kritische bedrijfsinformatie. RvB’s, RvC’s en andere directieleden hebben – veel vaker dan andere collega’s – dagelijks te maken met bedrijfskritische informatie over overnames, onderhandelingen, beloningsregelingen, strategische plannen en financiële- en klantgegevens. Desondanks wordt dit soort gevoelige informatie nog vaak in de vorm van grote vergaderboeken routinematig gedeeld met senior executives, via bijvoorbeeld onbeveiligde e-mail of hardcopy per koerier. Gevaar ligt al snel op de loer. Juist voor de it-verantwoordelijke is hier een cruciale rol weggelegd. Hij kan de board faciliteren met een oplossing die voldoet aan de compliance- en security-eisen van nu.
Papier versus digitaal
Voor veel organisaties is het een tijdintensief proces om belangrijke bestuursdocumenten op tijd en foutloos op papier te krijgen en deze grote pakken papier vervolgens op tijd te bezorgen bij de juiste mensen, denk aan commissarissen, juristen, bestuurders of adviseurs. In de boardroom is er daarom een steeds grotere behoefte aan technologie die dit vergader-, samenwerkings- en beslissingsproces digitaliseert en vereenvoudigt. Het staat dus buiten kijf dat it-managers vroeg of laat het verzoek krijgen om de board te helpen. Hierbij zal hij een aantal cruciale overwegingen moeten maken.
Allereerst zal er een afweging gemaakt moeten worden om een oplossing zelf te ontwikkelen en in beheer te nemen of (op basis van software as a service) af te nemen bij een leverancier. Zelf ontwikkelen is een gunstige optie als er binnen de organisatie veel kennis en kunde in huis is over de op te leveren functionaliteiten. Daarnaast kan er rekening gehouden worden met de staande architectuur en aanpalende applicaties. Desondanks gaat het bij een dergelijke oplossing om een kleine gebruikersgroep van ongeveer twintig tot veertig personen en heeft de applicatie zeer specifieke functionaliteiten. Dit maakt dat zelf ontwikkelen niet altijd loont. Afnemen bij een gespecialiseerde partij ligt dan al snel voor de hand, maar hoe zit het dan met de veiligheid?
Data-security en uptime
Ondanks dat er veel behoefte is aan een oplossing om op een slimme manier digitaal samen te werken, is men op hoog niveau nog vaak huiverig. Er wordt bijvoorbeeld regelmatig getwijfeld aan de veiligheid van de cloud. Informatiebeveiliging is dan ook een cruciaal aspect in de digitale transitie van de boardroom. Het gaat immers om de meest gevoelige stukken, die in sommige gevallen niet zomaar overal mogen worden opgeslagen. Of er nu gekozen wordt om een portal zelf te ontwikkelen of te kopen, het is altijd verstandig om goed na te gaan hoe data wordt opgeslagen en beveiligd. Een leverancier zal daar dan ook altijd volledig transparant over moeten zijn. Investeert de leverancier voldoende in cybersecurity research en ontwikkeling, is hij voldoende transparant over de (fysieke en digitale) securityprocessen, maakt de leverancier gebruik van software of platforms van derden, in welke mate van data redundantie wordt voorzien en worden de systemen gemonitord om hacks te detecteren?
Naast beveiliging is het ook van cruciaal belang dat er een back-up gemaakt wordt op een andere locatie, om ervoor te zorgen dat omgevingsgebeurtenissen of storingen geen invloed hebben op de secundaire locatie. Hierdoor kan de hoogste uptime gegarandeerd worden. Het is belangrijk dat digitale gegevens worden gecodeerd, zowel tijdens het versturen (met behulp van 128-bit SSL/TLS- encryptie), als in opslag (met behulp van 256-bit encryptie om hack pogingen af te schrikken).
24/7 en intuïtief
Directieleden en senior executives zijn één van de meest veeleisende gebruikers als het gaat om digitale board documenten. Zij zullen niet snel aan de slag gaan met een oplossing die niet 100 procent naar wens is. Een ander cruciaal aspect is het gebruiksgemak van de oplossing. Iedereen moet zich de toepassing snel eigen kunnen maken. De portal moet dan ook precies toegespitst zijn op de manier waarop bestuurders werken. Het is dus zaak dat de it-manager in zijn zoektocht naar een juiste oplossing ook nadenkt over hoe de communicatie en informatievoorziening tussen de bestuursleden het best gefaciliteerd kan worden. Het in kaart brengen van de informatiestroom zal ook helpen om ervoor te zorgen dat het papierloze platform de juiste set-up heeft. Een traditionele hoofddirectie die vier of zes keer per jaar samenkomt, zal andere behoeften hebben dan een raad van bestuur die wekelijks samenkomt. Doordat steeds meer organisaties een internationale boardroom hebben, zijn directieleden geografisch verspreid. De infrastructuur zal daarop moeten aansluiten, om ervoor te zorgen dat iedereen veilig toegang krijgt tot de meest up-to-date informatie op hetzelfde moment.
Daarnaast is het van belang dat senior executives overal ter wereld op ieder moment toegang hebben tot hun vergaderstukken. Ondanks dat de meeste systemen zeer betrouwbaar zijn, kunnen er zich toch gebeurtenissen voordoen, vaak op ongelegen momenten, zoals wanneer een directeur internetproblemen heeft tijdens het synchroniseren van documenten voordat hij een taxi of een vliegtuig instapt. Voor dergelijke situaties is het belangrijk dat er 24 uur per dag, 365 dagen per jaar ondersteuning geboden wordt door experts die direct het probleem verhelpen.
Zet de laatste stap
Security heeft een vaste plek op de agenda van de vergaderingen van de directie en het senior management. Het is één van de meest urgente problemen waar bedrijven vandaag de dag mee te maken hebben. Door de jaren heen zijn er veel nieuwe regels en richtlijnen gekomen voor medewerkers met betrekking tot online samenwerken, byod en het delen en opslaan van gevoelige bedrijfsinformatie. Dit geldt echter niet altijd voor hoger management. Het struikelpunt is dat de boardroom vaak ‘boven’ de organisatie staat, waardoor het is uitgesloten van compliancy- en security-processen, die wél van toepassing zijn op ieder ander deel van het bedrijf. Hoewel de it-manager zorg draagt voor de vereisten op het gebied van cybersecurity en compliancy binnen de organisaties, worden deze aspecten voor de board nog vaak gezien als een verantwoordelijkheid voor de bestuurssecretaris. Maar bij wie de verantwoordelijkheid nu echt ligt, is vaak onduidelijk. Het zetten van die laatste stap – het nemen van de eigen verantwoordelijkheid met betrekking tot security en compliancy van de board – moet in 2015 topprioriteit zijn. Een grote kans dus voor de it-manager om dit te faciliteren.
