Voor bedrijven die zich midden in een wereldwijde pandemie bevinden, bestaat er niet zoiets als ‘business as usual’. Het percentage Amerikanen dat op afstand werkt, is dramatisch gegroeid en bereikt nu 33% van de Amerikaanse beroepsbevolking. Deze ingrijpende verandering gaat ook gepaard met toenemende bedreigingen voor de gegevensbeveiliging, waarbij uit één analyse blijkt dat alleen al in de eerste helft van 2020 meer dan 36 miljard online records openbaar zijn gemaakt. Consumenten wier leven op zijn kop staat door identiteitsdiefstal besteden veel aandacht aan de reactie van bedrijven. Maar geeft de typische raad van bestuur van bedrijven gegevensbeveiliging de aandacht die het verdient?
Naast aanzienlijke kosten voor consumenten kunnen datalekken, netwerkinbraken en dreigende cyberdreigingen een bedrijf blootstellen aan aanzienlijke financiële kosten, reputatieschade en wettelijke aansprakelijkheid. De FTC bleef vermeend misleidend of oneerlijk gedrag in verband met de gegevensbeveiligingspraktijken van bedrijven aanvechten. Enkele recente voorbeelden zijn nederzettingen met SkyMed Internationaal, TapslotEN Zoom. We herzien ook enkele regelgeving voor gegevensbeveiliging voor de sector, waaronder de Regel voor melding van inbreuk op de gezondheid en de Gramm-Leach-Bliley Beveiligingsregel.
In deze context is het essentieel dat bedrijfsbesturen er alles aan doen om ervoor te zorgen dat consumenten- en werknemersgegevens worden beschermd. Het goede nieuws is dat volgens een recent onderzoek 60% van de ondervraagde directeuren zei dat ze van plan zijn hun toezichthoudende rol op het gebied van cyberbeveiliging het komende jaar te verbeteren. Hoe zou dat eruit zien voor een typisch bedrijf? Het FTC-personeel heeft vijf op gezond verstand gebaseerde aanbevelingen voor gewetensvolle bestuurders.
Maak van gegevensbeveiliging een prioriteit.
In tegenstelling tot wat vaak wordt gedacht, begint gegevensbeveiliging bij de raad van bestuur, en niet bij de IT-afdeling. Een ondernemingsbestuur dat prioriteit geeft aan gegevensbeveiliging kan de toon zetten in de hele organisatie door een veiligheidscultuur te creëren, sterke veiligheidsverwachtingen te scheppen en interne silo’s af te breken om technische en strategische samenwerking te vergemakkelijken. Hoewel er geen one-size-fits-all formule bestaat, volgen hier wel strategieën die sommige bedrijven hebben geïmplementeerd om van beveiliging een prioriteit te maken.
- Bouw een team van belanghebbenden uit uw hele organisatie. Hoewel uit een onderzoek uit 2018 bleek dat 89% van de CEO’s cyberbeveiliging als een IT-functie beschouwt, wijst de ervaring uit dat het beheersen van cyberrisico’s een “ondernemingsbrede” kwestie is. Bij een krachtig gegevensbeveiligingsprogramma moeten belanghebbenden uit de zakelijke, juridische en technologische afdelingen van het hele bedrijf worden betrokken, zowel senior executives als operationele experts. Uiteraard bestaan in veel commissies de Chief Information Officer en de Chief Information Security Officer, maar andere bedrijven bevorderen praktische synergieën door ook leidinggevenden op te nemen die een ander perspectief op kwesties inbrengen, zoals de CEO, CFO of General Counsel. Een breed en divers scala aan stemmen kan het bestuur voorzien van crossfunctionele inzichten in cyberrisico’s en oplossingen.
- Zorg voor toezicht op bestuursniveau. Sommige besturen delegeren hun taken op het gebied van toezicht op cyberrisico’s aan een auditcomité. Anderen hebben een autonome cyberbeveiligingscommissie op bestuursniveau. Ongeacht hoe een organisatie haar taken op het gebied van toezicht op cyberrisico’s structureert, het komt erop neer dat cyberrisico’s een prioriteit moeten zijn binnen de raad van bestuur. Toezicht op bestuursniveau helpt ervoor te zorgen dat bedreigingen, verdedigingen en reacties op cyberveiligheid de aandacht krijgen van de hoogste niveaus en de middelen krijgen die nodig zijn om het werk goed te doen.
- Houd regelmatig veiligheidsinstructies. Als het om veiligheid gaat, moeten bestuursleden geïnformeerd worden, maar uit onderzoek blijkt dat velen van hen daar niet bij betrokken zijn. Uit een onderzoek uit 2012 bleek dat minder dan 40 procent van de raden van bestuur regelmatig rapporten ontving over privacy- en veiligheidsrisico’s, en dat 26 procent dergelijke informatie zelden of nooit ontving. Volgens een ander onderzoek ontving slechts 12% van de besturen regelmatig briefings over cyberdreigingen. Uit een onderzoek onder overheidsbedrijven dat zes jaar later, in 2018, werd gehouden, bleek niet veel vooruitgang te zijn geboekt. Slechts 37% van de bestuursleden zei dat ze er “verzekerd” of “zeer zeker” van waren dat hun bedrijf voldoende beschermd is tegen cyberaanvallen. Natuurlijk is cyberbeveiliging geen eenmalige aangelegenheid. Het is een dynamisch proces waarbij bestuursleden geïnformeerd, betrokken en op de hoogte moeten zijn. Regelmatige briefings bereiden besturen voor op het uitvoeren van hun toezichthoudende verantwoordelijkheden, het navigeren door het beveiligingslandschap en het prioriteren van bedreigingen voor het bedrijf.
Begrijp de cyberbeveiligingsrisico’s en uitdagingen waarmee uw bedrijf wordt geconfronteerd.
Een effectief gegevensbeveiligingsprogramma begint bovenaan. Hoewel het misschien niet de taak van de raad is om de dagelijkse veiligheidsoperaties te beheren, is het wel hun taak om prioriteiten te stellen en de middelen toe te wijzen die nodig zijn om effectieve veiligheid te garanderen. Bestuursleden moeten hun stem laten horen en hun steentje bijdragen. Ze moeten blijk geven van een grondig begrip van de uitdagingen op het gebied van gegevensbeveiliging waarmee hun bedrijf wordt geconfronteerd, en moeten handelen op een manier die de toon zet voor de hele organisatie.
Verwar wettelijke naleving niet met veiligheid.
In 2019 hield de FTC een reeks hoorzittingen over deze kwestie consumentenbescherming en technologie in de 21e eeuw. Een gemeenschappelijk thema was dat compliance zich niet noodzakelijkerwijs vertaalt in goede beveiliging. Cyberveiligheidsbedreigingen evolueren voortdurend en snel. Een effectief gegevensbeveiligingsprogramma mag nooit worden gereduceerd tot een “checkbox”-benadering gericht op het voldoen aan complianceverplichtingen en -vereisten. In plaats daarvan moeten raden van bestuur ervoor zorgen dat hun beveiligingsprogramma’s zijn afgestemd op de specifieke behoeften, prioriteiten, technologie en gegevens van hun bedrijven. Bestuurders moeten zichzelf lastige vragen stellen om te bepalen of hun beleid en procedures de veiligheidsrisico’s van hun bedrijf effectief aanpakken en of hun feitelijke beveiligingspraktijken effectief de bedreigingen aanpakken waarmee ze worden geconfronteerd. Dit gesprek zonder beperkingen kan belangrijke vragen bevatten zoals:
- Welk type gegevens bewaren wij en waarom? En waar bewaren we het?
- Zijn ons beleid en onze procedures adequaat om onze gegevens te beschermen?
- Zijn onze feitelijke beveiligingspraktijken in overeenstemming met ons beleid en onze publieke verklaringen?
- Zijn onze beveiligingsinvesteringen en -uitgaven afgestemd op de beveiligingsrisico’s en -bedreigingen?
Het is meer dan alleen preventie.
Een effectief gegevensbeveiligingsprogramma zorgt ervoor dat een bedrijf redelijke voorzorgsmaatregelen neemt om zijn netwerk en de persoonlijke gegevens van consumenten tegen indringers te beschermen. Geen enkel programma voor gegevensbeveiliging is echter perfect en geen enkel programma kan garanderen dat een bedrijf beschermd is tegen aanvallen of datalekken. Recente inbreuken hebben in ieder geval het belang van een krachtig gegevensbeveiligingsprogramma aangetoond EN een robuust incidentresponsplan. Bij het reageren op een beveiligingsincident is tijd vaak van essentieel belang. Elke minuut die werknemers besteden aan het lokaliseren van belangrijke leidinggevenden en het richten van hun aandacht op wat er is gebeurd, is tijd die wordt weggenomen van de cruciale taken van het tegengaan van de gegevensschade en het implementeren van een passende reactie. Een effectief beveiligingsprogramma zorgt er daarentegen voor dat, indien nodig, een beveiligingsincident snel kan worden geëscaleerd naar het juiste niveau. Bovendien kan het integreren van organisatorische veerkracht in uw beveiligingsprogramma uw bedrijf helpen de activiteiten draaiende te houden en te reageren op een beveiligingsincident.
Leer van fouten.
Als uw bedrijf de pech heeft gehad met een datalek, maak dan van de gelegenheid gebruik om van het incident te leren en uw programma te verbeteren. Bedrijven hebben vaak periodieke, onafhankelijke beoordelingen door derden nodig om een basislijn vast te stellen waartegen ze toekomstige voortgang kunnen meten en, in het geval van een beveiligingsincident, om te bepalen hoe een inbreuk heeft plaatsgevonden. Natuurlijk kan het leren van de fouten van andere bedrijven net zo waardevol (en aanzienlijk minder pijnlijk) zijn. Er is zeker geen tekort aan datalekken, en bij veel daarvan zijn waarschijnlijk concurrenten of andere partijen in soortgelijke bedrijfstakken betrokken. Bestuurders moeten van de gelegenheid gebruik maken om inzicht te krijgen in de cyberveiligheidsrisico’s die verband houden met hun sector en moeten leren van de fouten van hun bedrijf en die van anderen.
Het FTC Business Center heeft bronnen voor gegevensbeveiliging voor bedrijven van elke omvang en in elke sector.
