Kennisbank | Behaav

Informatiebeveiliging in de boardroom

Geschreven door Melvin Broersma | Jul 18, 2024 10:00:17 AM

Meer grip op informatiebeveiliging

Met de intrede van de NIS2 heeft cybersecurity als onderwerp definitief een plek in de boardroom gekregen. Hierdoor krijgt de vraag hoe ondernemers en managers met dit onderwerp moeten omgaan eindelijk de urgentie die het verdient. Wie is verantwoordelijk en aansprakelijk?  Antwoorden op deze en andere vragen zijn noodzakelijk om grip op informatiebeveiliging te krijgen. Nu en in de toekomst zullen er steeds vaker incidenten in de media verschijnen waarbij de bestuurdersaansprakelijkheid nadrukkelijk aan de orde is en daarmee groeit de urgentie om ook strategisch meer grip te krijgen op informatiebeveiliging. In deze blog geven we de boardrooms een aantal tips om mee aan de slag te gaan.

NIS2 over verantwoordelijkheid en aansprakelijkheid: "De directie en het senior management worden expliciet verantwoordelijk gesteld voor de naleving van de NIS2-richtlijn. Dit betekent dat zij aansprakelijk kunnen worden gesteld voor het falen in het implementeren van adequate beveiligingsmaatregelen."

 

Wat maakt het lastig voor directieteams?

Het duiden van het onderwerp informatiebeveiliging op strategisch niveau is vaak lastig, omdat er een gebrek aan aandacht voor het onderwerp is, er onvoldoende kennis is of doordat de (C)ISO onvoldoende in staat is om de strategische context van informatiebeveiliging te duiden aan de directie. Daarom staat dit onderwerp niet altijd of verkeerd op het netvlies van de directie. In het ergste geval leidt dit tot een onjuiste besluitvorming over de te nemen maatregelen en maakt het de organisatie eerder kwetsbaarder dan veilig

Om informatiebeveiliging vanuit het perspectief van de directie goed te kunnen duiden dien je als bestuur en/of directie vrij eenvoudig antwoord te kunnen geven op de volgende vragen:

  1. Waar is binnen jouw organisatie de cybersecurity belegd op governance- en managementniveau?
  2. Waar zou het volgens jou belegd moeten zijn (reportagelijnen)?
  3. Waar ligt het crisismandaat (zie slotalinea)?
  4. Welke meetmethoden en indicatoren (metrieken, ratio’s, KPI’s) hanteer je naar de RvB of vergelijkbare organen?
  5. In hoeverre kan ik genomen maatregelen koppelen aan bedrijfsrisico’s?
  6. Welke metrics, ratio’s, KPI’s hanteer je als RvC?
  7. Hoe verkrijg je deze data?
  8. In hoeverre neem je dit mee in je verslaglegging naar auditors en jaarverslagen?


Governance, hoe werkt dat?

Een goede governance met duidelijke rollen, verantwoordelijkheden en taken helpen enorm bij het juist en tijdig informeren van directie en bestuur. Mocht je de antwoorden op (een deel van) bovenstaande 8 vragen schuldig blijven, dan biedt de juiste governance mogelijk soelaas. Onder governance verstaan we namelijk het creëren van een setting waarin effectief management mogelijk wordt. De taken hierbij zijn, onder andere:

  1. Het continu evalueren van de context waarin de organisatie zich bevindt (intern en extern) en de invloeden daarvan op de organisatie en haar doelen.
  2. Het juist richting geven en monitoren van bestuur en management
  3. Het nemen van besluiten
  4. Het maken van plannen
  5. Het bouwen van de organisatie met al haar structuren en processen
  6. Het runnen van de organisatie en het monitoren op het gewenste resultaat
  7. Hoe verkrijg je deze data?
  8. Het effectueren van de operationele beslissingen die het executive management neemt

Wat kan de boardroom nog meer helpen?

Voortbordurend op de governance kunnen de veel zaken boardrooms helpen bij het vormgeven van maatregelen die vanuit de governance bestuurd, gemonitord en uitgevoerd dienen te worden. Voor het gemak bied ik je een checklist met de belangrijke thema’s. Je kunt deze gratis downloaden via onderstaande knop.

Crisismandaat

Het crisismandaat, moeten we daarover nadenken? Ja, is het enige antwoord. Als de organisatie daadwerkelijk in een cybercrisis verkeert, dan wil je niet meer na hoeven denken over waar het mandaat ligt. Wat mij betreft gaat die naar de CISO, die acteert immers onafhankelijk en kan het beste inschatten wat de impact is. Belangrijk is dat de betrokkenen vooraf vaststellen wat onder een crisis dient te worden verstaan. Met andere woorden: onder welke omstandigheden en voorwaarden wordt het crisismandaat van de CISO van kracht en hoe coördineert hij/zij met de crisisorganisatie? Terugdenkend aan de governance is dat de plek waar we dit vastleggen.
 
Met deze maatregelen hopen we boardrooms en directies iets meer leidraad te hebben gegeven. In de toekomstige blogs zullen we verder ingaan op aspecten die vooral het menselijke aspect behelzen in boardrooms, zoals leiderschap, trainingen en communicatie. Wil je nu alvast met ons in contact komen over hoe wij directies kunnen helpen, neem dan gerust contact op ons.