Met alle digitale informatie die in en uit je organisatie stroomt, moet cyberbeveiliging één van de speerpunten van je organisatie zijn. Cybercriminaliteit heeft namelijk grote gevolgen: reparatiekosten, gederfde inkomsten, verlies van productie of reputatieschade. Daarom is een volledig informatiebeveiligingsrapport aan de raad van bestuur belangrijk.
Cybercriminaliteit kan vele vormen aannemen. Via gestolen apparatuur, zwakke wachtwoorden, chantage, e-mailphishing of op een andere manier krijgen criminelen toegang tot de digitale systemen van een bedrijf. 90% van de cyberbeveiligingsinbreuken begint met een e-mail en elke dag sturen oplichters zo’n 3,1 miljard domein-spoofing-e-mails. Op deze manier verloor de Belgische bank Crelan in 2016 70 miljoen euro.
Hoewel de bank niet alle details deelt, vermoeden experts dat iemand in de organisatie het slachtoffer is geworden van CEO-fraude. Hierbij ontvangt iemand met autorisatiebevoegdheden op C-niveau een e-mail die eruitziet alsof deze afkomstig is van de CEO of een partnerorganisatie waarin wordt gevraagd om geld over te maken. In werkelijkheid komt de mail van een sluwe cybercrimineel.
Dit laat zien hoe belangrijk het is dat iedereen binnen een organisatie alert en getraind is om valse informatie te herkennen. In dit artikel gaan we in op de rol van het bestuur met betrekking tot informatiebeveiliging en hoe je zo’n rapport het beste kan opstellen.
De rol van het bestuur op het gebied van cyberbeveiliging
De raad van bestuur beschermt de aandeelhouderswaarde. Een belangrijk aspect daarvan is voorkomen dat het bedrijf slachtoffer wordt van cybercriminaliteit. In de VS onderzocht Ocean Tomo dat:
- in 1975 17% van de marktwaarde van S&P 500-bedrijven gekoppeld was aan immateriële activa,
- in 2020 dat gegroeid was naar 90%.
Een van de redenen hiervoor is de toename van digitale activa. Dat betekent ook dat bedrijven gigantisch aan waarde verliezen als ze worden aangevallen. Juist daarom moet het bestuur nauwlettend toezien op de systemen die beschermen tegen digitale criminaliteit.
Deloitte analyseerde de veranderende rol van het bestuur op het gebied van cybersecurity na de coronapandemie. In een tijd waarin meer mensen dan ooit vanuit huis inlogden op de systemen van hun werkgever, vaak met hun eigen apparaat, werden cyberaanvallen voor veel organisaties een groot risico. Volgens het Deloitte-rapport is cyberbeveiliging nu, op de strategische planning na, het belangrijkste aspect voor de raad van bestuur:
“Alleen 'zich bewust zijn' van cyberrisico's is niet genoeg voor het bestuur in dit 'nieuwe normaal'. Ze moeten van elke inbreuk de ernst begrijpen en weten welke maatregelen genomen worden om het risico te verminderen.”
5 beveiligingsrisico’s die je aan het bestuur moet melden
1. Wachtwoorden
Wachtwoorden bieden het meest elementaire beveiligingsniveau voor iedereen, van bestuur tot stagiair. 82% van de datalekken wereldwijd maakt gebruik van zwakke of gestolen wachtwoorden. Een bedrijfsbreed beleid met minimumvereisten voor wachtwoordbeveiliging kan dus al een groot deel van de risico’s verminderen.
Het gebruik van zwakke wachtwoorden of het hergebruiken van wachtwoorden die al eerder zijn misbruikt, is een open deur naar de IT-systemen van je organisatie, waar criminelen maar al te graag gebruik van maken. Laat medewerkers in een presentatie gerust eens zien hoe makkelijk het is voor hackers om veelvoorkomende of voor de hand liggende zinnen in wachtwoorden te ontdekken. Zo toonde recent onderzoek naar inbreuken dat 23,2 miljoen slachtofferaccounts wereldwijd 123456 als wachtwoord gebruikten.
Als jullie nog geen wachtwoordenbeleid hebben, dan is dit het eerste aandachtspunt in het informatiebeveiligingsrapport aan het bestuur. Adviseer hen hoe dit beleid eruit moet zien. Bijvoorbeeld dat gebruikers alleen een wachtwoord mogen kiezen dat ze nergens anders hebben gebruikt. En stel ook eisen aan de sterkte van het wachtwoord, waarbij een combinatie van hoofdletters en kleine letters, cijfers en symbolen vereist is.
Hieronder een paar voorbeelden van sterke en zwakke wachtwoorden:
| Wachtwoord | Sterkte |
| realmadrid | Zwak. Zeker als de gebruiker een fan is van Real Madrid, dan kan een scammer dit eenvoudig online achterhalen. |
| Rea1Madr1d | Beter, maar nog steeds niet veilig. Het gebruik van cijfers en hoofdletters maakt het al iets lastiger om te raden maar een hacker kan met informatie over de gebruiker en een beetje puzzelen, dit wachtwoord nog steeds raden. |
| 9bLo0@£eR5€!a | Sterk. Dit is een wachtwoord dat een hacker onmogelijk kan raden. Het kost hem 200 jaar om een sterk wachtwoord te kraken, zeker als je daarin symbolen zoals € gebruikt die niet op een standaard QWERTY toetsenbord voorkomen. |
2. Gebruik tweestapsverificatie
Tweestapsverificatie (2FA) is de ideale manier om het risico van zwakke wachtwoorden te beperken. Behalve het invoeren van een wachtwoord, gebruik je extra beveiliging. Dit gaat met een unieke methode waarmee je bewijst dat je bent wie je zegt dat je bent.
Dit maakt het een stuk lastiger voor criminelen om accounts te hacken. Deel met het bestuur hoeveel werknemers momenteel 2FA gebruiken en adviseer om dit in het hele bedrijf uit te rollen als effectief middel tegen cybercriminaliteit.
Er zijn drie verschillende manieren voor tweestapsverificatie:
| Categorie | Voorbeeld |
| Kennis – iets wat alleen jij weet | Een PIN of het antwoord op een ‘geheime’ vraag, zoals de naam van je eerste huisdier. |
| Bezit – iets dat jij alleen hebt | Een credit card of mobiele telefoon waarop je een one-time passcode (OTP) via SMS ontvangt. |
| Inherent – iets dat alleen jij bent | Een vingerafdruk of gezichtsherkenning. |
3. Te weinig informatie
Wat je niet weet, kun je niet oplossen. Dat geldt voor veel aspecten in het bedrijfsleven, maar vooral voor cyberbeveiliging. De IT-afdeling kan alleen uitgaan van meldingen van gebruikers over mogelijke inbreuken op het systeem. Als medewerkers deze incidenten niet melden, dan is dat een risicofactor die je in je rapportage aan het bestuur zeker moet vermelden.
Het bedrijf moet het voor werknemers zo makkelijk mogelijk maken om problemen te rapporteren. Daarnaast is training essentieel zodat iedereen weet waar ze op moeten letten en waarom het melden van veiligheidsinbreuken zo belangrijk is.
De organisatie moet een loket hebben, zoals een telefoonlijn of e-mailadres, waar medewerkers mogelijke inbreuken of risico's kunnen rapporteren. Dat kunnen zaken zijn als:
- Het melden van verdachte e-mails.
- Het (per ongeluk) klikken op een verdachte link of downloaden van een verdachte bijlage.
- Het verlies van een apparaat dat direct verbonden is aan het IT-netwerk. Zoals bedrijfslaptops, tablets, telefoons, externe harde schijven, USB drives maar ook eigen apparatuur die ze gebruiken om in te loggen.
- Dwang of verzoeken van anderen om informatie te verschaffen over het IT-netwerk.
4. Uitval van systemen
Het bestuur moet begrijpen welke risico’s er zijn en de gevolgen die een aanval met zich meebrengt voor de organisatie. Dat kan bijvoorbeeld uitval van systemen zijn. Belangrijk is dat ze begrijpen welke impact dit heeft op de organisatie. Dit helpt hen om te bepalen of ze dit risico willen accepteren of voorkomen.
Een distributed denial of service (DDoS) aanval bijvoorbeeld, waarbij de cybercrimineel de servers van een bedrijf overstelpt zorgt ervoor dat echte gebruikers geen toegang meer hebben tot de informatie. Dit kan een bedrijf per minuut € 21.500 kosten. De dader kan dit gebruiken om het getroffen bedrijf om te kopen (om de aanval te stoppen), maar soms is het gewoon een willekeurige actie om chaos te veroorzaken.
5. Reputatieschade
Reputatieschade is misschien nog wel het meest waarschijnlijke resultaat van een cyberaanval. Daarom is dit eveneens een belangrijk onderdeel van het informatiebeveiligingsrapport waarin je aantoont wat het risiconiveau is voor jullie organisatie.
Elk bedrijf dat te maken krijgt met een aanval en waarvan later wordt vastgesteld dat het onvoldoende voorbereidingen heeft getroffen om deze te voorkomen, kan ervan uitgaan dat consumenten hen dit publiekelijk kwalijk zullen nemen. Via social media delen zij makkelijk hun frustraties als zij vinden dat de organisatie tekortschiet.
Het vertrouwen van het publiek kun je op die manier makkelijk verliezen en dat kan een bedrijf decennialang schaden. Communicatiebedrijf TalkTalk gaf in 2015 toe dat hackers toegang hadden verkregen tot de persoonlijke gegevens van meer dan 150.000 klanten. Hierdoor verloor het bedrijf zo’n 100.000 klanten en meer dan de helft van zijn waarde.
Hoe kun je als bestuur het risico op een cyberaanval minimaliseren?
Het is aan de raad van bestuur om het voortouw te nemen om cyberaanvallen op het netwerk te voorkomen. Voorzorgsmaatregelen als een risk assessment, gebruik van 2FA, een wachtwoordenbeleid, bewustwordingstraining, loketten om verdachte activiteiten te melden, helpen om aanvallen te voorkomen. En daarmee de gevolgen zoveel mogelijk te beperken.
Behalve deze maatregelen is het belangrijk dat alle software aan de hoogste veiligheidsmaatregelen voldoet. Dat geldt ook voor het bestuursportaal, met de administratie van de raad van bestuur. iBabs voldoet aan de hoogste vereisten. Het portaal is optimaal beveiligd, inclusief 2FA om in te loggen, een automatische vergrendelingsmogelijkheid om gecompromitteerde accounts af te sluiten, de optie om vertrouwelijke documenten te verwijderen van verloren of gestolen apparaten, et cetera. Het maakt gebruik van dezelfde AES 256-bit-codering die diverse banken gebruiken, om jullie bedrijfsgegevens op onze servers op te slaan.
Via dit bestuursportaal kunnen bestuurders voor en tijdens vergaderingen veilig in de cloud samenwerken, en beschikken ze altijd over de meest actuele versies van de bestuursdossiers.
FAQ’s
Wat is het verschil tussen informatiebeveiliging en privacy?
Privacy van gegevens gaat over alle maatregelen om de persoonlijke informatie van mensen privé en veilig te houden binnen jullie systemen. Informatiebeveiliging zorgt ervoor dat onbevoegden geen toegang krijgen tot die gegevens.
Wat is informatiebeveiligingsbeheer?
Informatiebeveiligingsbeheer betreft het beoordelen op bestuursniveau van de risico's en de monitoringprocessen die de digitale activa van het bedrijf beschermen.
Conclusie
Wanneer je jouw informatiebeveiligingsrapport aan de raad van bestuur presenteert, praat dan niet alleen over de risico’s van cyberaanvallen voor de organisatie, maar ook hoe jullie die risico's kunnen beperken. Geef informatie over de huidige staat van informatiebeveiliging en biedt praktische oplossingen om deze te verbeteren.
Het gebruik van programma's zoals iBabs voor bestuursvergaderingen, waarbij de hele levenscyclus van een vergadering op één beveiligd platform is ondergebracht, is een ideale oplossing. Het beschikt over meerdere beveiligingsfuncties en is tegelijkertijd een efficiënte tool om vergaderprocessen te stroomlijnen. Vraag vandaag nog een demo voor jouw organisatie aan.
