Voor bedrijven die zich midden in een wereldwijde pandemie bevinden, bestaat er niet zoiets als ‘business as usual’. Het percentage Amerikanen dat op afstand werkt, is aanzienlijk toegenomen en bedraagt nu naar verluidt 33% van de Amerikaanse beroepsbevolking. Deze seismische verschuiving is ook gepaard gegaan met toenemende veiligheidsrisico’s voor gegevens, waarbij uit één analyse blijkt dat alleen al in de eerste helft van 2020 meer dan 36 miljard online records openbaar zijn gemaakt. Consumenten wier leven is ontwricht door identiteitsdiefstal besteden veel aandacht aan de reacties van bedrijven. Maar geven raden van bestuur van bedrijven gegevensbeveiliging over het algemeen de aandacht die het verdient?
Naast aanzienlijke schade voor consumenten kunnen datalekken, netwerkinbraken en dreigende cyberdreigingen bedrijven blootstellen aan aanzienlijke financiële verliezen, negatieve gevolgen voor de reputatie en wettelijke aansprakelijkheid. De FTC blijft vermeend misleidende of oneerlijke acties met betrekking tot de gegevensbeveiligingspraktijken van het bedrijf aanvechten. Enkele recente voorbeelden zijn nederzettingen met SkyMed Internationaal, Tik op het slotEn Zoom in. We zijn ook bezig met het herzien van verschillende regels voor gegevensbeveiliging voor de sector, waaronder Regels voor melding van gezondheidsschendingen en Gramm-Leach-Bliley Beschermingsregels.
Tegen deze achtergrond is het belangrijk dat raden van bestuur van bedrijven doen wat ze kunnen om ervoor te zorgen dat consumenten- en werknemersgegevens worden beschermd. Het goede nieuws is dat op basis van recent onderzoek 60% van de ondervraagde directeuren zei dat ze van plan zijn hun rol als toezichthouder op cybersecurity het komende jaar te vergroten. Wat is het beeld van het bedrijf in het algemeen? Het FTC-personeel heeft vijf op gezond verstand gebaseerde aanbevelingen voor gewetensvolle bestuurders.
Maak van gegevensbeveiliging een prioriteit.
In tegenstelling tot wat vaak wordt gedacht, begint gegevensbeveiliging bij de Raad van Bestuur, en niet bij de IT-afdeling. Een ondernemingsbestuur dat prioriteit geeft aan gegevensbeveiliging kan de richting voor de hele organisatie bepalen door een beveiligingscultuur in te voeren, sterke beveiligingsverwachtingen te stellen en interne silo’s te elimineren om technische en strategische samenwerking te vergemakkelijken. Hoewel er geen one-size-fits-all formule bestaat, volgen hier wel strategieën die sommige bedrijven implementeren om van beveiliging een prioriteit te maken.
- Bouw een team van belanghebbenden uit uw hele organisatie. Hoewel uit onderzoek uit 2018 blijkt dat 89% van de CEO’s cyberbeveiliging als een IT-functie beschouwt, leert de ervaring dat het beheer van cyberrisico’s een ‘business-business’-kwestie is. Bij een goed gegevensbeveiligingsprogramma moeten belanghebbenden uit de zakelijke, juridische en technologische afdelingen van het hele bedrijf worden betrokken – zowel leidinggevenden op hoog niveau als operationele experts. Natuurlijk bestaan veel commissies uit een Chief Information Officer en een Chief Information Security Officer, maar andere bedrijven moedigen praktische synergie aan door er ook leidinggevenden in op te nemen die verschillende perspectieven op kwesties hebben – bijvoorbeeld de CEO, CFO of General Counsel. Een breed en divers scala aan stemmen kan besturen sectoroverschrijdende informatie verschaffen over cyberrisico’s en -oplossingen.
- Zorg voor toezicht op bestuursniveau. Sommige raden van bestuur delegeren hun taken op het gebied van toezicht op cyberrisico’s aan auditcomités. Andere bedrijven hebben zelfstandige cyberbeveiligingscomités op bestuursniveau. Ongeacht hoe een organisatie haar taken op het gebied van het toezicht op cyberrisico’s structureert, het belangrijkste uitgangspunt is dat cyberrisico’s een prioriteit moeten zijn in de bestuurskamer. Toezicht op bestuursniveau helpt ervoor te zorgen dat bedreigingen, verdedigingen en reacties op cyberveiligheid de aandacht krijgen van de hogere echelons en de middelen krijgen die nodig zijn om het werk goed te doen.
- Houd regelmatig veiligheidsbriefings. Als het om veiligheid gaat, zouden bestuursleden dit moeten weten, maar uit onderzoek blijkt dat velen van hen dat niet weten. Uit een onderzoek uit 2012 bleek dat minder dan 40% van de raden van bestuur van bedrijven regelmatig rapporten ontvangt over privacy- en veiligheidsrisico’s en dat 26% dergelijke informatie zelden of nooit ontvangt. Volgens een ander onderzoek ontvangt slechts 12% van de besturen regelmatig briefings over cyberdreigingen. Uit een onderzoek onder overheidsbedrijven dat zes jaar later, in 2018, werd gehouden, bleek niet veel vooruitgang. Slechts 37% van de bestuursleden zei dat ze er “zeker” of “zeer zeker” van waren dat hun bedrijf veilig was tegen cyberaanvallen. Natuurlijk is cyberbeveiliging niet iets dat in een opwelling kan worden gedaan. Dit is een dynamisch proces waarbij bestuursleden geïnformeerd, betrokken en up-to-date moeten zijn. Regelmatige briefings bereiden het bestuur voor op het uitvoeren van hun toezichthoudende verantwoordelijkheden, het navigeren door het beveiligingslandschap en het prioriteren van bedreigingen voor het bedrijf.
Begrijp de cyberbeveiligingsrisico’s en uitdagingen waarmee uw bedrijf wordt geconfronteerd.
Een sterk databeveiligingsprogramma begint aan de top. Hoewel het misschien niet de rol van het bestuur is om de dagelijkse veiligheidsoperaties te beheren, is het wel hun taak om prioriteiten te stellen en de middelen toe te wijzen die nodig zijn om effectieve veiligheid te garanderen. Bestuursleden moeten het woord voeren en de daad bij het woord voegen. Ze moeten blijk geven van een geavanceerd inzicht in de uitdagingen op het gebied van gegevensbeveiliging waarmee hun bedrijven worden geconfronteerd, en handelen op een manier die de gezondheid van de hele organisatie kan bepalen.
Verwar wettelijke naleving en veiligheid niet.
In 2019 hield de FTC een reeks hoorzittingen consumentenbescherming en technologie in de 21e eeuw. Een gemeenschappelijk thema is dat compliance niet altijd een goede beveiliging betekent. De bedreigingen voor de cyberveiligheid blijven snel toenemen. Een krachtig gegevensbeveiligingsprogramma mag niet worden gereduceerd tot een ‘check the box’-aanpak die erop gericht is te voldoen aan complianceverplichtingen en -vereisten. In plaats daarvan moeten raden van bestuur ervoor zorgen dat hun beveiligingsprogramma’s zijn afgestemd op de unieke behoeften, prioriteiten, technologie en gegevens van hun bedrijf. Bestuurders moeten lastige vragen stellen over de vraag of hun beleid en procedures de veiligheidsrisico’s van het bedrijf effectief aanpakken en of de feitelijke beveiligingspraktijken effectief de bedreigingen aanpakken waarmee ze worden geconfronteerd. Deze open gesprekken kunnen basisvragen bevatten zoals:
- Welk type gegevens bewaren wij en waarom? En waar slaan we het op?
- Zijn ons beleid en onze procedures adequaat om onze gegevens te beschermen?
- Komen onze feitelijke beveiligingspraktijken overeen met ons beleid en onze publieke verklaringen?
- Zijn onze veiligheidsinvesteringen en -uitgaven in lijn met onze veiligheidsrisico’s en bedreigingen?
Dit is meer dan alleen preventie.
Een krachtig gegevensbeveiligingsprogramma zorgt ervoor dat een bedrijf redelijke voorzorgsmaatregelen neemt om zijn netwerk en de persoonlijke gegevens van consumenten tegen indringers te beschermen. Geen enkel databeveiligingsprogramma is echter perfect en geen enkel programma kan garanderen dat een bedrijf beschermd zal zijn tegen aanvallen of datalekken. Bovendien hebben recente inbreuken het belang van een krachtig gegevensbeveiligingsprogramma aangetoond En een robuust incidentresponsplan. Bij het reageren op beveiligingsincidenten is tijd vaak van essentieel belang. Elke minuut die werknemers besteden aan het omverwerpen van belangrijke managers en het richten van hun aandacht op wat er is gebeurd, is tijdverspilling aan de cruciale taken van het stoppen van datacorruptie en het implementeren van passende reacties. Een effectief beveiligingsprogramma zorgt er daarentegen voor dat, indien nodig, beveiligingsincidenten snel kunnen worden geëscaleerd naar een passend niveau. Bovendien kan het inbouwen van organisatorische veerkracht in uw beveiligingsprogramma uw bedrijf helpen de activiteiten in stand te houden en te reageren op beveiligingsincidenten.
Leer van fouten.
Als uw bedrijf te maken krijgt met een datalek, maak dan van de gelegenheid gebruik om van het incident te leren en uw programma te verbeteren. Bedrijven hebben vaak periodieke, onafhankelijke beoordelingen door derden nodig om een basislijn vast te stellen waartegen ze de toekomstige voortgang kunnen meten en – in het geval van een beveiligingsincident – om te bepalen hoe de inbreuk heeft plaatsgevonden. Natuurlijk kan het leren van de fouten van andere bedrijven net zo waardevol (en minder pijnlijk) zijn. Datalekken komen zeker voor en er zijn hoogstwaarschijnlijk concurrenten of andere partijen in vergelijkbare bedrijfssectoren bij betrokken. Raden van bestuur moeten deze gelegenheid aangrijpen om inzicht te krijgen in de cyberveiligheidsrisico’s die aan hun sector verbonden zijn en moeten leren van de fouten van hun eigen bedrijven en die van anderen.
Het FTC Business Center heeft bronnen voor gegevensbeveiliging voor bedrijven van elke omvang en in elke sector.
