Digital risk management is continu proces - Er gaat geen week voorbij zonder nieuws over cyberaanvallen en datalekken. Hierdoor staat digital risk management op de agenda van de board.



Beursgenoteerde bedrijven, bestuurders en boards staan onder druk om na te denken over doemscenario’s en welke stappen te zetten mocht zo’n scenario zich voordoen. Rob Theis, General Partner bij World Innovation Lab en Board adviseur bij Digital Shadows, geeft drie tips voor board members om digital risk management goed in te richten.



1. Security is een verantwoordelijkheid van de board

De board handelt in het beste belang van de organisatie. Om de bestuurders van aansprakelijkheid te behoeden in geval van een incident, zijn een goede voorbereiding en risicomanagement van cruciaal belang. Theis: "De board moet regelmatig samenkomen om cyberrisico’s te analyseren en een aanpak klaar te hebben. Stel een digital risk management-plan op voor het monitoren van digitale risico’s. In dit plan moet u ook nadenken over regels en protocollen. Wie treedt op als woordvoerder naar media en stakeholders? En wat is de boodschap die wordt uitgedragen? De board moet deze protocollen vormgeven en kenbaar maken binnen de rest van de organisatie. Alle medewerkers moeten weten wat hen te doen staat wanneer de paniek uitbreekt."



2. Een veelzijdig team

Theis: "Het is belangrijk om regelmatig trends en bedreigingen te beoordelen en de reactie op een incident in detail voor te bereiden. Als er ogenschijnlijk niets lijkt te gebeuren op een dagelijkse, wekelijkse, maandelijkse of zelfs jaarlijkse basis, betekent dit niet dat er geen incidenten plaatsvinden. Om alle risico’s te monitoren is een goed voorbereid team nodig dat is uitgerust met de bevoegdheid en juiste tools om inhoudelijk actie te ondernemen wanneer problemen zich voordoen. De juiste technologieën moeten beschikbaar zijn om digitale risico’s te identificeren en te onderzoeken welke impact die risico’s hebben op de organisatie en het merk. Dit team moet veelzijdig zijn. Cyberincidenten hebben invloed op vrijwel niveaus van een organisatie. Denk aan afdelingen zoals juridische zaken, IT, finance, HR, marketing en PR. Deze afdelingen zouden daarom ook input moeten leveren voor de plannen."



3. De kosten voor een digital risk management-plan

Veel organisaties worstelen met de kosten voor IT-beveiliging en digital risk management. Theis legt uit: "Het is een investering die veel lijkt op verzekeren: je betaalt voor iets waarvan je hoopt dat het nooit zal gebeuren en niemand wil daarvoor meer betalen dan nodig is. Bedrijven spendeerden gemiddeld zes tot zeven procent van hun IT-budget aan beveiligingstechnologieën. De situatie is de afgelopen twee tot drie jaar echter aanzienlijk veranderd. Door de toenemende frequentie en professionalisering van cybercrime zijn de gemiddelde kosten van IT-beveiliging gestegen naar gemiddeld twaalf tot veertien procent.

Hoeveel een organisatie daadwerkelijk investeert in IT-beveiliging hangt af van een reeks criteria. Zeker beursgenoteerde bedrijven geven veel geld uit om de organisatie te beschermen. Zij kunnen het zich namelijk absoluut niet veroorloven om op de centen te letten. De impact van boetes en verplichtingen rondom wet- en regelgeving wegen te zwaar. Bedrijven die consumentgericht zijn, een bekend merk hebben opgebouwd, goed bewaakt intellectueel eigendom bezitten en compliancy-eisen hebben van de branche en wet- en regelgeving, spenderen vaak meer aan IT-beveiliging dan onbekendere bedrijven. Er leeft namelijk een misplaatste overtuiging dat u minder risico loopt wanneer u een minder bekend bedrijf bent. De realiteit is echter dat organisaties van alle soorten, omvang en bekendheid het risico lopen op datalekken en cyberaanvallen."



Een continu proces

Theis vertelt verder: "Het juiste antwoord op de vraag wat umoet spenderen, begint niet met een cijfer. Organisaties moeten eerst een digital risk management-proces doorlopen. Zeker als beursgenoteerde onderneming kunt u niet ad hoc budgetbeslissingen nemen, of reactief handelen als problemen zich voordoen. Een proactieve houding is cruciaal. Dit proces wordt idealiter frequent herhaald, zodat tekortkomingen in de loop van de tijd verholpen worden. Dit is een lang traject, maar raadzaam voor zowel overheidsinstanties, als grote corporaties en mkb. Nu cybercriminaliteit zich op ongekend hoog niveau heeft ontwikkeld, kunnen bedrijven zich geen meerjarig plan meer veroorloven om zich te weren tegen digitale risico’s. De best voorbereide bedrijven zijn die met een veelzijdige paraatheid die begrijpen dat digital risk management niet slechts een eenmalige takenlijst is. Het is een continue ontwikkeling en het meest effectief als het voortdurend wordt bijgesteld."