Voor bedrijven die zich midden in een wereldwijde pandemie bevinden, bestaat er niet zoiets als ‘business as usual’. Het aandeel Amerikanen dat op afstand werkt, is aanzienlijk gegroeid en bedraagt nu naar verluidt 33% van de Amerikaanse beroepsbevolking. De seismische verschuiving gaat gepaard met toenemende bedreigingen voor de gegevensbeveiliging, waarbij uit één analyse blijkt dat alleen al in de eerste helft van 2020 meer dan 36 miljard online records openbaar zijn gemaakt. Consumenten wier leven is veranderd door identiteitsdiefstal besteden veel aandacht aan de manier waarop bedrijven hierop reageren. Maar geeft het typische bestuur van bedrijven gegevensbeveiliging de aandacht die het verdient?
Naast de aanzienlijke kosten voor consumenten kunnen datalekken, netwerkinbraken en dreigende cyberdreigingen een bedrijf blootstellen aan aanzienlijke financiële kosten, reputatieschade en juridische aansprakelijkheid. De FTC is vermeend misleidend of oneerlijk gedrag met betrekking tot de gegevensbeveiligingspraktijken van bedrijven blijven aanvechten. Een paar recente voorbeelden zijn nederzettingen met SkyMed Internationaal, Tik op slotEn Zoom. We zijn ook bezig met het herzien van enkele regelgeving voor gegevensbeveiliging voor de sector, waaronder Regel voor het melden van gezondheidsschendingen en Gramm-Leach-Bliley Veiligheidsregel.
Tegen deze achtergrond is het belangrijk dat bedrijfsbesturen doen wat ze kunnen om ervoor te zorgen dat consumenten- en werknemersgegevens worden beschermd. Het goede nieuws is dat volgens een recent onderzoek 60% van de ondervraagde CEO’s zei dat ze van plan zijn hun toezichthoudende rol op het gebied van cyberbeveiliging het komende jaar te verbeteren. Hoe zou dat eruit zien voor een typisch bedrijf? FTC-medewerkers hebben vijf op gezond verstand gebaseerde aanbevelingen voor gewetensvolle leidinggevenden.
Maak van gegevensbeveiliging een prioriteit.
In tegenstelling tot wat vaak wordt gedacht, begint gegevensbeveiliging bij de raad van bestuur, en niet bij de IT-afdeling. Een ondernemingsbestuur dat prioriteit geeft aan gegevensbeveiliging kan de toon zetten in een organisatie door een veiligheidscultuur te creëren, sterke veiligheidsverwachtingen te scheppen en interne silo’s af te breken om technische en strategische samenwerking te vergemakkelijken. Hoewel er geen one-size-fits-all formule bestaat, volgen hier wel strategieën die sommige bedrijven hebben geïmplementeerd om van beveiliging een prioriteit te maken.
- Bouw een team van belanghebbenden uit uw hele organisatie. Ondanks dat uit een onderzoek uit 2018 blijkt dat 89% van de CEO’s cyberbeveiliging als een IT-functie beschouwt, wijst de ervaring uit dat het beheer van cyberrisico’s een kwestie is die de hele bedrijfsvoering aangaat. Een solide databeveiligingsprogramma moet belanghebbenden uit de zakelijke, juridische en technologische afdelingen van de hele onderneming omvatten, zowel senior executives als operationele experts. In veel commissies zitten uiteraard Chief Information Officers en Chief Information Security Officers, maar andere bedrijven bevorderen praktische synergieën door ook leidinggevenden op te nemen die een ander perspectief op de kwesties inbrengen – bijvoorbeeld de CEO, CFO of General Counsel. Een breed en divers scala aan stemmen kan het bestuur voorzien van transversale informatie over cyberrisico’s en oplossingen.
- Zorg voor toezicht op bestuursniveau. Sommige raden van bestuur delegeren hun taken op het gebied van het monitoren van cyberrisico’s aan een auditcomité. Anderen hebben een onafhankelijke cybersecuritycommissie op bestuursniveau. Ongeacht hoe een organisatie haar taken voor het monitoren van cyberrisico’s structureert, het belangrijkste is dat cyberrisico’s prioriteit krijgen in de bestuurskamer. Toezicht op bestuursniveau helpt ervoor te zorgen dat bedreigingen, verdedigingen en reacties op cyberbeveiliging de aandacht van het hoogste niveau krijgen en over de middelen beschikken die nodig zijn om de klus te klaren.
- Houd regelmatig veiligheidsinstructies. Als het op beveiliging aankomt, moeten bestuursleden er bovenop zitten, maar uit onderzoek blijkt dat velen van hen er niet bij betrokken zijn. Uit een onderzoek uit 2012 bleek dat minder dan 40% van de raden van bestuur regelmatig rapporten ontving over privacy- en veiligheidsrisico’s, en dat 26% deze informatie zelden of nooit ontving. Volgens een ander onderzoek ontving slechts 12% van de besturen regelmatig briefings over cyberdreigingen. Uit een onderzoek onder overheidsbedrijven dat zes jaar later, in 2018, werd gehouden, bleek niet veel vooruitgang te zijn geboekt. Slechts 37% van de bestuursleden zei dat ze er “verzekerd” of “zeer zeker” van waren dat hun bedrijf goed beveiligd was tegen cyberaanvallen. Natuurlijk is cyberveiligheid geen eenmalig voorstel. Het is een dynamisch proces waarbij bestuursleden geïnformeerd, betrokken en up-to-date moeten zijn. Regelmatige briefings bereiden raden van bestuur voor op het uitvoeren van hun toezichthoudende verantwoordelijkheden, het navigeren door het beveiligingslandschap en het prioriteren van bedreigingen voor het bedrijf.
Begrijp de cyberbeveiligingsrisico’s en uitdagingen waarmee uw bedrijf wordt geconfronteerd.
Een sterk databeveiligingsprogramma begint aan de top. Hoewel het misschien niet de rol van de raad van bestuur is om de dagelijkse veiligheidsoperatie te beheren, is het wel hun taak om prioriteiten te stellen en de nodige middelen toe te wijzen om effectieve veiligheid te garanderen. Bestuursleden moeten het woord voeren en de daad bij het woord voegen. Ze moeten blijk geven van een geavanceerd inzicht in de uitdagingen op het gebied van gegevensbeveiliging waarmee hun bedrijf wordt geconfronteerd, en moeten handelen op een manier die de toon zet voor de hele organisatie.
Verwar wettelijke naleving niet met veiligheid.
In 2019 hield de FTC een aantal hoorzittingen hierover consumentenbescherming en technologie in de 21e eeuw. Een gemeenschappelijk thema was dat compliance zich niet noodzakelijkerwijs vertaalt in goede beveiliging. Cyberveiligheidsbedreigingen evolueren voortdurend en snel. Een krachtig gegevensbeveiligingsprogramma mag nooit worden gereduceerd tot een ‘check the box’-benadering, gericht op het voldoen aan complianceverplichtingen en -vereisten. In plaats daarvan moeten besturen ervoor zorgen dat hun beveiligingsprogramma’s zijn afgestemd op de unieke behoeften, prioriteiten, technologie en gegevens van hun bedrijf. Bestuurders moeten lastige vragen stellen over de vraag of hun beleid en procedures de veiligheidsrisico’s van hun bedrijf effectief aanpakken, en of feitelijke beveiligingspraktijken effectief de bedreigingen aanpakken waarmee ze worden geconfronteerd. Het onbeperkte gesprek kan basisvragen bevatten zoals:
- Wat voor soort gegevens slaan wij op en waarom? En waar slaan we het op?
- Zijn ons beleid en onze procedures adequaat om onze gegevens te beschermen?
- Zijn onze feitelijke beveiligingspraktijken consistent met ons beleid en onze publieke verklaringen?
- Staan onze veiligheidsinvesteringen en -uitgaven in verhouding tot onze veiligheidsrisico’s en -bedreigingen?
Het is meer dan alleen preventie.
Een krachtig gegevensbeveiligingsprogramma zorgt ervoor dat een bedrijf redelijke voorzorgsmaatregelen neemt om zijn netwerk en de persoonlijke gegevens van consumenten tegen indringers te beschermen. Geen enkel databeveiligingsprogramma is echter perfect, en geen enkel programma kan garanderen dat een bedrijf beschermd zal zijn tegen aanvallen of datalekken. Recente inbreuken hebben in ieder geval het belang van een krachtig gegevensbeveiligingsprogramma aangetoond En een robuust noodplan. Bij het reageren op een beveiligingsincident is tijd vaak van essentieel belang. Elke minuut die werknemers besteden aan het signaleren van belangrijke leidinggevenden en het richten van hun aandacht op wat er is gebeurd, is tijd die wordt weggenomen van de cruciale taken van het stoppen van de schade aan gegevens en het implementeren van een passende reactie. Een effectief beveiligingsprogramma zorgt er daarentegen voor dat een beveiligingsincident, indien nodig, snel kan worden geëscaleerd naar het juiste niveau. Bovendien kan het inbouwen van organisatorische veerkracht in uw beveiligingsprogramma uw bedrijf helpen de activiteiten draaiende te houden terwijl u reageert op een beveiligingsincident.
Leer van fouten.
Als uw bedrijf de pech heeft gehad met een datalek, maak dan van de gelegenheid gebruik om van het incident te leren en uw programma te verbeteren. Bedrijven hebben vaak periodieke, onafhankelijke beoordelingen door derden nodig om een basislijn vast te stellen waaraan toekomstige vooruitgang kan worden gemeten en – in het geval van een beveiligingsincident – om te bepalen hoe een inbreuk heeft plaatsgevonden. Natuurlijk kan het leren van de fouten van andere bedrijven net zo waardevol (en aanzienlijk minder pijnlijk) zijn. Er is zeker geen tekort aan datalekken, en bij veel daarvan zijn waarschijnlijk concurrenten of andere partijen in soortgelijke sectoren betrokken. Bestuurders moeten van de gelegenheid gebruik maken om inzicht te krijgen in de cyberveiligheidsrisico’s die aan hun sector verbonden zijn en moeten leren van de fouten van hun eigen bedrijf en van de fouten van anderen.
Het FTC Business Center heeft bronnen voor gegevensbeveiliging voor bedrijven van elke omvang en in elke branche.
