Voor bedrijven die zich midden in een wereldwijde pandemie bevinden, bestaat er niet zoiets als ‘business as usual’. Het percentage Amerikanen dat op afstand werkt, is aanzienlijk gegroeid en bedraagt nu naar verluidt 33% van de Amerikaanse beroepsbevolking. Deze seismische verschuiving is gepaard gegaan met toegenomen veiligheidsrisico’s voor gegevens, waarbij uit één analyse blijkt dat alleen al in de eerste helft van 2020 meer dan 36 miljard online records openbaar zijn gemaakt. Consumenten wier leven op zijn kop staat door identiteitsdiefstal letten nauwlettend op de manier waarop bedrijven reageren. Maar geeft de typische raad van bestuur van een bedrijf gegevensbeveiliging de aandacht die het verdient?
Naast de aanzienlijke kosten voor consumenten kunnen datalekken, netwerkinbraken en dreigende cyberdreigingen een bedrijf blootstellen aan aanzienlijke financiële kosten, reputatieschade en wettelijke aansprakelijkheid. De FTC is vermeend misleidend of oneerlijk gedrag met betrekking tot de gegevensbeveiligingspraktijken van bedrijven blijven aanvechten. Een paar recente voorbeelden zijn nederzettingen met SkyMed Internationaal, TikslotEn Zoom. We zijn ook bezig met het herzien van enkele regels voor gegevensbeveiliging voor de industrie, waaronder de Regel voor melding van inbreuk op de gezondheid en de Gramm-Leach-Bliley Beveiligingsregel.
Tegen die achtergrond is het van essentieel belang dat bedrijfsbesturen doen wat ze kunnen om ervoor te zorgen dat consumenten- en werknemersgegevens worden beschermd. Het goede nieuws is dat volgens een recent onderzoek 60% van de ondervraagde directeuren zei dat ze van plan zijn hun toezichthoudende rol op het gebied van cyberbeveiliging het komende jaar te verbeteren. Hoe zou dat eruit zien voor een typisch bedrijf? Het FTC-personeel heeft vijf op gezond verstand gebaseerde aanbevelingen voor gewetensvolle bestuurders.
Maak van gegevensbeveiliging een prioriteit.
In tegenstelling tot wat vaak wordt gedacht, begint gegevensbeveiliging bij de Raad van Bestuur, en niet bij de IT-afdeling. Een ondernemingsbestuur dat prioriteit geeft aan gegevensbeveiliging kan de toon zetten in de hele organisatie door een veiligheidscultuur te creëren, sterke veiligheidsverwachtingen te scheppen en interne silo’s af te breken om technische en strategische samenwerking te vergemakkelijken. Hoewel er geen one-size-fits-all formule bestaat, volgen hier wel strategieën die sommige bedrijven hebben geïmplementeerd om van beveiliging een prioriteit te maken.
- Bouw een team van belanghebbenden uit uw hele organisatie. Ondanks een onderzoek uit 2018 waaruit bleek dat 89% van de CEO’s cyberbeveiliging als een IT-functie beschouwt, wijst de ervaring uit dat het beheer van cyberrisico’s een kwestie van ‘het hele bedrijf’ is. Een gedegen databeveiligingsprogramma moet belanghebbenden uit de zakelijke, juridische en technologische afdelingen van het hele bedrijf omvatten – zowel leidinggevenden op hoog niveau als operationele experts. Natuurlijk omvatten veel commissies de Chief Information Officers en de Chief Information Security Officer, maar andere bedrijven bevorderen praktische synergieën door er ook leidinggevenden in op te nemen die een ander perspectief op de kwesties inbrengen – bijvoorbeeld de CEO, CFO of General Counsel. Een breed en divers scala aan stemmen kan het bestuur voorzien van transversale informatie over cyberrisico’s en oplossingen.
- Zorg voor toezicht op bestuursniveau. Sommige raden van bestuur delegeren hun taken op het gebied van toezicht op cyberrisico’s aan een auditcomité. Anderen hebben een zelfstandig cyberbeveiligingscomité op bestuursniveau. Ongeacht hoe een organisatie haar taken op het gebied van toezicht op cyberrisico’s structureert, het belangrijkste uitgangspunt is dat cyberrisico’s een prioriteit moeten zijn binnen de bestuurskamer. Toezicht op bestuursniveau helpt ervoor te zorgen dat bedreigingen, verdedigingen en reacties op cyberveiligheid de aandacht krijgen van degenen op de hogere echelons en dat ze over de middelen beschikken die nodig zijn om hun werk goed te doen.
- Houd regelmatig veiligheidsbriefings. Als het om beveiliging gaat, moeten bestuursleden op de hoogte zijn, maar uit onderzoek blijkt dat velen van hen er niet bij betrokken zijn. Uit een onderzoek uit 2012 bleek dat minder dan 40% van de raden van bestuur regelmatig rapporten over privacy- en veiligheidsrisico’s ontving, terwijl 26% deze informatie zelden of nooit kreeg. Volgens een ander onderzoek ontving slechts 12% van de besturen regelmatig briefings over cyberdreigingen. Uit een onderzoek onder overheidsbedrijven dat zes jaar later, in 2018, werd gehouden, bleek niet veel vooruitgang te zijn geboekt. Slechts 37% van de bestuursleden zei dat ze er “verzekerd” of “zeer zeker” van waren dat hun bedrijf goed beveiligd was tegen cyberaanvallen. Natuurlijk is cyberbeveiliging geen eenmalig voorstel. Het is een dynamisch proces waarbij bestuursleden geïnformeerd, betrokken en op de hoogte moeten zijn. Regelmatige briefings bereiden raden van bestuur voor op het uitvoeren van hun toezichthoudende verantwoordelijkheid, het navigeren door het beveiligingslandschap en het prioriteren van bedreigingen voor het bedrijf.
Begrijp de cyberbeveiligingsrisico’s en uitdagingen waarmee uw bedrijf wordt geconfronteerd.
Een sterk databeveiligingsprogramma begint aan de top. Hoewel het misschien niet de rol van de raad van bestuur is om de dagelijkse veiligheidsoperaties te beheren, is het wel hun taak om prioriteiten te stellen en de middelen toe te wijzen die nodig zijn om effectieve veiligheid te garanderen. Bestuursleden moeten het woord voeren en de daad bij het woord voegen. Ze moeten blijk geven van een geavanceerd inzicht in de uitdagingen op het gebied van gegevensbeveiliging waarmee hun bedrijf wordt geconfronteerd, en moeten handelen op een manier die de toon zet voor de hele organisatie.
Verwar wettelijke naleving niet met veiligheid.
In 2019 hield de FTC een reeks hoorzittingen consumentenbescherming en technologie in de 21e eeuw. Een gemeenschappelijk thema was dat compliance zich niet noodzakelijkerwijs vertaalt in goede beveiliging. Cybersecurity-bedreigingen evolueren voortdurend en snel. Een sterk gegevensbeveiligingsprogramma mag nooit worden gereduceerd tot een ‘check the box’-aanpak die erop gericht is te voldoen aan complianceverplichtingen en -vereisten. In plaats daarvan moeten besturen ervoor zorgen dat hun beveiligingsprogramma’s zijn afgestemd op de unieke behoeften, prioriteiten, technologie en gegevens van hun bedrijf. Bestuurders moeten lastige vragen stellen over de vraag of hun beleid en procedures de veiligheidsrisico’s van hun bedrijf effectief aanpakken en of de feitelijke beveiligingspraktijken effectief de bedreigingen aanpakken waarmee ze worden geconfronteerd. Dat gesprek zonder beperkingen kan fundamentele vragen omvatten zoals:
- Welke gegevens bewaren wij en waarom? En waar bewaren we het?
- Zijn ons beleid en onze procedures adequaat om onze gegevens te beschermen?
- Zijn onze feitelijke beveiligingspraktijken in overeenstemming met ons beleid en onze publieke verklaringen?
- Zijn onze veiligheidsinvesteringen en -uitgaven in lijn met onze veiligheidsrisico’s en bedreigingen?
Het is meer dan alleen preventie.
Een krachtig gegevensbeveiligingsprogramma zorgt ervoor dat een bedrijf redelijke voorzorgsmaatregelen neemt om zijn netwerk en de persoonlijke gegevens van consumenten tegen indringers te beschermen. Geen enkel databeveiligingsprogramma is echter perfect en geen enkel programma kan garanderen dat een bedrijf beschermd zal zijn tegen aanvallen of datalekken. Recente inbreuken hebben in ieder geval het belang van een krachtig gegevensbeveiligingsprogramma aangetoond En een robuust incidentresponsplan. Bij het reageren op een beveiligingsincident is tijd vaak van essentieel belang. Elke minuut die werknemers besteden aan pogingen om belangrijke leidinggevenden te signaleren en hun aandacht te richten op wat er is gebeurd, is tijd die wordt weggenomen van de cruciale taken van het beperken van de schade aan gegevens en het implementeren van een passende reactie. Een effectief beveiligingsprogramma zorgt er daarentegen voor dat, wanneer dat nodig is, een beveiligingsincident snel naar het juiste niveau kan worden getild. Bovendien kan het inbouwen van organisatorische veerkracht in uw beveiligingsprogramma uw bedrijf helpen de activiteiten draaiende te houden en te reageren op een beveiligingsincident.
Leer van fouten.
Als uw bedrijf de pech heeft gehad met een datalek, maak dan van de gelegenheid gebruik om van het incident te leren en uw programma te verbeteren. Bedrijven hebben vaak periodieke onafhankelijke beoordelingen door derden nodig om een basislijn vast te stellen waaraan toekomstige vooruitgang kan worden gemeten en – in het geval van een beveiligingsincident – om te bepalen hoe een inbreuk heeft plaatsgevonden. Natuurlijk kan het leren van de fouten van andere bedrijven net zo waardevol (en aanzienlijk minder pijnlijk) zijn. Er is zeker geen tekort aan datalekken en bij veel daarvan zijn waarschijnlijk concurrenten of andere partijen in soortgelijke bedrijfstakken betrokken. Bestuurders moeten van de gelegenheid gebruik maken om inzicht te krijgen in de cyberveiligheidsrisico’s die verband houden met hun sector en moeten leren van de fouten van hun eigen bedrijf en van de fouten van anderen.
Het FTC Business Center heeft bronnen voor gegevensbeveiliging voor bedrijven van elke omvang en in elke sector.
