6 stappen voor de digibeet-bestuurder die zijn verantwoordelijkheid neemt voor privacy en cybersecurity

Privacy en cybersecurity zijn langzamerhand verworden tot bedrijfsrisico’s die het juridische en ICT-domein ruimschoots ontstijgen. Toenemende digitalisering, strengere wet- en regelgeving en de almaar groeiende dreiging van criminele elementen maken organisaties steeds kwetsbaarder voor incidenten. Incidenten die een enorme impact kunnen hebben op de financiële gezondheid en de goede naam van de organisatie maar ook op de betrokken burgers, klanten of medewerkers.

Tegelijkertijd is het verwonderlijk dat er nog steeds veel directies zijn die deze belangrijke onderwerpen volledig overlaten aan het management. Misschien door een gebrek aan affiniteit of door tijdgebrek. Maar misschien ook wel door het idee dat ze onvoldoende expertise hebben om een zinvolle bijdrage te kunnen leveren.

De lijst hieronder laat zien dat je geen expert hoeft te zijn om op bestuurlijk niveau leiding te geven aan het beheersen van informatieveiligheid en privacy.

Vormgeven aan bestuurlijke verantwoordelijkheid voor privacy en cybersecurity

1. Onderzoek de risico’s
Net als toenemende concurrentie, niet betalende klanten of fraude, zijn ook informatieveiligheid en privacy risico’s. Zodra deze relevant worden, dat wil zeggen incidenten grote schade kunnen toebrengen, dient er structureel aandacht aan te worden geschonken. Selecteer die risico’s die een reële bedreiging vormen en bepaal de strategie om deze binnen acceptabele grenzen te krijgen.

2. Formuleer beleid
Beleid is bedoeld om de organisatie richting en kaders mee te geven ten dienste van de realisatie van een bepaalde strategie. Met beleid voor informatieveiligheid en privacy is het niet anders. Maak een lijst met generieke principes die voor alles en iedereen gelden en vul deze aan met specifieke richtlijnen voor eindgebruikers (bijv. voor gebruik (mobiel). Zie erop toe dat ook voor de meer specialistische functies richtlijnen worden opgesteld.

3. Organiseer de governance.
Voor de besturing van risico’s wordt veel gebruik gemaakt van het 3-lines-of-defense model. Het management wordt daarin verantwoordelijk gehouden voor de beheersing van de dagelijkse operationele risico’s. Zij wordt ondersteund door een staffunctie die expertise op het betreffende risicodomein levert en tevens toeziet op naleving van beleid en wet- en regelgeving. Een separate auditfunctie evalueert periodiek de gang van zaken ten behoeve van het bestuur. Zorg tevens een voor managementoverleg dat gegeven de organisatiedoelstellingen verantwoordelijk wordt voor de beheersing van de risico’s.

4. Vraag om periodieke rapportages
Meten is weten. Periodieke rapportages zijn de manier om geïnformeerd te worden over de activiteiten of gebeurtenissen die een relatie hebben met informatieveiligheid en privacy. Het meest voor de hand liggende is een overzicht van incidenten die zich hebben voorgedaan. Maar ook risicoanalyses, voortgangsrapportages over mitigerende maatregelen of analyses van nieuwe wet- en regelgeving kunnen zinvol zijn.

5. Wees voorbereid op incidenten
Voor elk risico bestaat er een kans dat het zich daadwerkelijk voordoet. En als het dan zover is, is het zaak dat de continuïteit niet in gevaar komt en dat adequate stappen worden gezet om de schade te beperken. Laat een business continuity plan maken en responseplannen voor specifieke incidenten (vlg. met ontruimingsplannen bij brand) zoals bijvoorbeeld datalekken of een Ddos aanval.

De beschreven punten hierboven vormen concrete acties die door de directie in samenwerking met het verantwoordelijke management uitgevoerd kunnen worden. Ze brengen allemaal een bepaalde verandering teweeg door structuren, processen en verantwoordelijkheden aan te passen maar het zijn uiteindelijk de medewerkers die het verschil maken. Daarom ter afronding het volgende punt.

6. Communiceer het belang
Als medewerkers zien en horen dat de directie waarde hecht aan informatieveiligheid en privacy en doordrongen raken van de rol die zijzelf daarin spreken kan dat een grote impact hebben. Een bedrijfscultuur wordt niet van de ene op de andere dag veranderd maar communicatie, consequente sturing en beleid en een voorbeeldgedrag door directie zijn wel heel belangrijke aspecten. Informeer de medewerkers en wees zelf een rolmodel.

Bovenstaande laat zien dat je geen ICT of privacy expert hoeft te zijn om zelf richting te geven aan de wijze waarop de organisatie met deze vraagstukken omgaat. Eigenlijk is dat geen nieuws want dat geldt net zo zeer voor veel andere zaken zoals huisvesting, juridische zaken en HR. Belangrijke beslissingen worden door de directie genomen en dat geldt ook over Informatieveiligheid en privacy.

Cybercrime: Is uw CIO net zo belangrijk als uw CFO?

De maatschappij vertrouwt erop dat uw organisatie afspraken nakomt, integer handelt en informatie op adequate wijze beschermt. Bent u zich voldoende bewust van uw verantwoordelijkheid? Het Whitepaper ‘Bestuurders en toezichthouders: let op uw zaak!’ staat vol met concrete handvatten om de volgende stap te zetten.

Contact

Marc Paats

Marc Paats

Tel: 06 57 07 18 70

Jan Pieter Pak

Jan Pieter Pak

Tel: 06 23 03 65 86

Marc Paats

Marc Paats

Tel: 06 57 07 18 70

Jan Pieter Pak

Jan Pieter Pak

Tel: 06 23 03 65 86

Jerome van Donk

Jerome van Donk

Tel: 06 82 30 87 36

Iris van Dijk

Iris van Dijk

Tel: 06 30 90 98 08