1 September 2015

Cybersecurity in de boardroom

Door Yuri Bobbert, lector op het terrein van bedrijfskritische informatiebeveiliging (Business Information Security).

Wat beweegt bestuur en commissarissen?
Bedrijven worden steeds meer informatie- en ICT-gedreven. Dit betekent dat raden van bestuur en raden van commissarissen zich moeten (gaan) bezighouden met deze kritische assets. De zekerheid en adviezen die wij als IT-auditors hierover verschaffen, zouden daarom ook in deze gremia moeten landen. Dat zal beter lukken naarmate wij als beroepsgroep meer in staat zijn het gesprek aan te gaan met bestuurders en commissarissen over zaken die zij als belangrijk zien en naarmate het ons beter lukt om in dat licht bezien relevante activiteiten te ontplooien. Dit artikel, oorspronkelijk geschreven voor Chief Information Security Officers, kan hierbij helpen doordat het duidelijk maakt wat de zaken zijn waar bestuurders en commissarissen zich vooral druk over maken. Dit artikel is gebaseerd op een hoofdstuk in een andere publicatie van dezelfde auteur. Zie het tekstkader ‘publicaties van de auteur’ aan het eind van dit artikel.

Met de intrede van cybersecurity in de boardroom wordt de vraag actueel hoe dit onderwerp te duiden. Hoe specificeren we het? Wie is verantwoordelijk en aansprakelijk? Dit is noodzakelijk om greep op de materie te krijgen. Het duiden is vooral lastig omdat de kritische assets (in dit geval data) doorgaans niet als zodanig op de balans staan en dus ook niet in het jaarverslag terugkomen. Zelden wordt de goodwill van de data op de balans tot uitdrukking gebracht. Daarom staat dit onderwerp in de meeste gevallen ook niet op het netvlies van de bestuurder (Raad van Bestuur) of de toezichthouder (Raad van Commissarissen). Incidenten waarbij de bestuurdersaansprakelijkheid nadrukkelijk aan de orde is, doen hun intrede in de media en creëren daarmee de urgentie meer grip te krijgen op dit fenomeen.

Een treurig dieptepunt vormde een incident bij de Nederlandse Zorgautoriteit (NZa). Hier ging het op werkelijk alle fronten mis. Er was sprake van falende systemen (vrije toegang tot data op de fileshares), falende processen (geen beleid en borging daarvan) en falend toezicht. Sterker nog, het besturende orgaan maakte zich schuldig aan mismanagement en malversaties. Klokkenluider Gotlieb sloeg met de volgende woorden alarm: “Helaas zie ik geen andere route dan het u te melden langs deze onsympathieke weg. De geest moet uit de fles en het deksel van de pot. Opdat het management tijdig kan bijsturen. Dit schreeuwt namelijk om interventie.” Twee weken nadat hij dit dossier bij zijn werkgever had ingeleverd, pleegde Arthur Gotlieb zelfmoord (bron: NRC1). De toenemende politieke druk naar aanleiding van deze zaak leidde tot het aftreden van beide bestuurders van de NZa.

Met integrated reporting kan de organisatie zich profileren
De NZa-case gaat verder dan het niet goed omgaan met informatiebeveiligingsrisico’s. Er is tevens sprake van een falende organisatiecultuur. Meerdere duidelijke signalen werden structureel genegeerd. Het is daarom onder andere deze NZa-case die het belang onderstreept van de verantwoordelijkheden en aansprakelijkheden van governance (RvC) en executive management (in niet-Angelsaksische landen is dit de RvB). In Angelsaksische landen en bij sommige Nederlandse organisaties kennen we zowel een one tier board, waarin toezicht en uitvoer zijn verenigd, als een two-tier board, waarbij toezicht en uitvoering strikt gescheiden zijn. Zodra we per niveau duidelijk hebben wat er wordt verwacht, kan er invulling worden gegeven aan de information security- (of cyber security-)functie binnen de besturing van de organisatie.

Onderwerpen waar de CEO wakker van ligt

 

Onder governance verstaan we het creëren van een setting waarin effectief management mogelijk wordt. De taken hierbij zijn: het evalueren van de context en de invloeden daarvan op de organisatie; richting geven (‘direct’ in het Engels); en monitoren van bestuur. Binnen COBIT noemen we dit het EDM-proces: Evaluate, Direct en Monitor. [ISAC12]

Executive management op zijn beurt heeft als primaire taak het nemen van besluiten. De activiteiten die daarbij horen zijn het maken van plannen, het bouwen van de organisatie (structuren en processen), het runnen van deze organisatie en het monitoren op het gewenste resultaat. Het onderliggende operationele niveau effectueert de operationele beslissingen die het executive management neemt. De vragen die ik zelf frequent stel aan RvB- of RvC-leden zijn: Waar is binnen uw organisatie de cybersecurity belegd op governance- en managementniveau (RvC respectievelijk RvB)? Waar zou het volgens u belegd moeten zijn (reporting lines)? Welke meetmethoden en indicatoren (metrieken, ratio’s, KPI’s) hanteert u naar de RvB? Welke metrieken, ratio’s, KPI’s hanteert u als RvC? Hoe verkrijgt u deze data? In hoeverre neemt u dit mee in uw verslaglegging?

Het is anno 2015 nog steeds zo dat veel van deze vragen onbeantwoord blijven. De belangrijkste oorzaak hiervan is dat de bestuurder veelal onvoldoende wordt gevoed met input om een gefundeerde discussie te kunnen voeren. De CISO kan hierin een belangrijke rol vervullen, zowel als adviseur als in de rol van sparringpartner van het bestuur. Het kan hierbij geen kwaad om te weten van welke zaken de bestuursvoorzitter vooral wakker ligt (zie figuur 1).

Wat drijft de RvB?
Om als CISO het bestuur goed bij te kunnen staan met advies is het van belang te begrijpen wat bestuurders drijft. Onderzoek van Berenschot, PwC [PWC13] en Forbes [FORB12] definieert de volgende drivers:

  • Differentiatie. Overleven door zich te onderscheiden ten opzichte van concurrentie.
  • Risicomanagement. Risico’s tijdig kwalificeren en de impact indiceren. Veelal financiële risico’s die zijn ingegeven door de striktere regels voor verslaglegging (IFRS, SOx, Basel II). Voornamelijk voor beursgenoteerde bedrijven en/of bedrijven die moeten voldoende aan de wet op de jaarrekening (IT-audits)2.
  • HR-management (talentmanagement). Het boeien en binden van de meest kritische asset anno 2014. Veel bedrijven zijn sterk afhankelijk van kenniswerkers, die zich op een andere manier laten managen dan via de traditionele technocratische managementstijlen.
  • Toegang tot kapitaal. Dit gaat vooral om het verkrijgen van geld op de kapitaalmarkt. Daar waar kasposities voor bedrijven belangrijk zijn, wordt de toegang tot extra kapitaal schaarser en duurder. Bedrijven worden dus kritischer op kosten.
  • Kostenreductie. Dit is in lijn met het bovenstaande. Bedrijven kijken kritischer naar hun operationele kosten en personeelskosten. Beide kostensoorten zouden meer moeten meedeinen met de bedrijfsvoering. Dit geldt zeker ook voor IT-kosten.

Wat drijft de RvC?
Om als CISO de toezichthouder (RvC) goed te kunnen bijstaan met advies is het van belang te begrijpen wat de commissaris drijft. Onderzoek van Grant Thornton definieert de volgende drivers die allemaal net een iets andere insteek hebben dan die van de RvB. [KLAA13]

Differentiatie
Differentiatie in verslaglegging. De nieuwe regels voor verslaglegging (integrated reporting) gaan uit van het adequaat rapporteren over non-financial risks. [IIRC13] Bijvoorbeeld information security-risico’s. Onderzoeken in de VS [WEST07] en Japan [ISHI11] hebben al aangetoond dat het verslagleggen over goed security management een positief effect kan hebben op de gepercipieerde waarde van de onderneming. [CAMP03] Volgens Nancy Kamp van EY [KAMP13] zal geïntegreerde verslaglegging overigens ‘niet zozeer leiden tot meer, maar vooral tot anders rapporteren.’ En zij voegt hier ter verduidelijking aan toe: “Overigens is de EU-richtlijn meer dan een administratieve oekaze. In feite is het een spiegel van wat er in de maatschappij leeft. Het samenvoegen van verschillende rapportages tot een holistisch verslag is meer dan het slaan van een nietje tussen twee afzonderlijke verslagen; het is een uiting van een andere manier van kijken, denken en handelen. Een manier die getuigt van besef van onze impact op de wereld en van de bereidheid om verantwoordelijkheid te nemen voor de omgeving waarin we opereren, de mensen die erbij betrokken zijn en onze ecologische voetafdruk. We zitten in een paradigmaverschuiving – van de korte naar de lange termijn, van kwantiteit naar kwaliteit en van welvaart naar welzijn. De EU-richtlijn is een eerste stap in de goede richting.”

Het rapport van Grant Thornton legt ook de verschillen bloot tussen de standaard reportingnormen en die voor integrated reporting. Zo bleken de in dat rapport bevraagde commissarissen grote waarde te hechten aan het rapporteren van risico’s op het vlak van veiligheid, reputatie, maatschappelijk rendement, vertrouwen van publiek, continuïteit van de onderneming, marketing en customer relations en human resources. Terreinen waarmee de CISO steeds vaker verbinding moet kunnen maken om de dialoog te voeren en daarmee de rapportages te kunnen voeden.

Actuele informatie over risico’s en daardoor adequaat risicomanagement
Actuele informatie over risico’s en daardoor adequaat risicomanagement. De commissaris wil vanuit zijn toezichthoudende rol kunnen beschikken over adequate, betrouwbare data over de feitelijke situatie. Dus exacte gegevens over systeemintegriteit, beschikbaarheid en vertrouwelijkheid. Precies zoals het geval is bij financiële data over liquiditeitspositie, vermogenspositie en overige financiële ratio’s gaat het de commissaris hier om actuele kerngegevens over de stand van zaken van de informatiehuishouding van de organisatie. Deze data mag niet verouderd zijn, want op een cyberincident (bijvoorbeeld een datalek) dient direct te worden gereageerd. De commissaris wil in geen geval via de media vernemen dat bij een bedrijf waarop hij of zij toezicht houdt data zijn gelekt. De CISO vervult hier een belangrijke rol door de essentiële data up-to-date te houden en daarover frequent te rapporteren. Essentiële gegevens dienen bij voorkeur met één druk op de knop beschikbaar te zijn. Een belangrijk aspect hierbij is dat de RvC deze informatie rechtsreeks van de CISO moet ontvangen en nimmer indirect via de RvB. Laten we leren van de NZa-case. De RvC heeft behoefte aan ongefilterde kerngegevens. Daarom is het belangrijk dat de CISO een situationeel onafhankelijke positie kan innemen ten opzichte van de RvB.

Talentmanagement
Talentmanagement met het oog op het verwerven van de juiste kennis en competenties. Het rapport onderstreept het belang van de aanwezigheid van de juiste competenties bij de RvC en de RvB. Zeer belangrijk voor de RvC zijn helikopterview, kritisch doorvragen, rechte rug en oordeelsvermogen. Voor de RvB zijn dat commitment, resultaatgerichtheid, ondernemingszin en strategisch inzicht. De RvC dient up-to-date te blijven met actuele kennis over diverse ondernemingsvraagstukken. Het aantrekken van een commissaris met kennis van informatiesystemen en technologie is anno 2014 geen sinecure. Laat staan iemand met kennis van security, risk en compliance. En deze drie elementen dan nog zowel opzichzelfstaand als in relatie tot elkaar. Het is prachtig als een commissaris deze kennis heeft, maar strikt noodzakelijk is het niet. Het allerbelangrijkste is het vermogen om doortastend de juiste kritische vragen te stellen op de juiste momenten.

Het is verder wenselijk dat de voorzitter van de RvC zorg draagt voor een regelmatige vernieuwing van de samenstelling van de Raad en voor een evenwichtige mix van talenten binnen de Raad. Alleen zo kan de RvC aan de talrijke uitdagingen op dit vlak het hoofd bieden. De CISO kan de RvC assisteren in het formuleren van onderwerpen waarop de bestuurder bevraagd kan worden.

Frequente communicatie met alle relevante stakeholders
Frequente communicatie met alle relevante stakeholders. Het is voor de RvC dan ook van belang om daadwerkelijk alle stakeholders te kennen. De traditionele stakeholders zoals banken en toezichthouders zal de Raad ongetwijfeld kennen. Met nieuwe, meer dynamische krachten, zoals hacktivisten, cybercriminelen die uit zijn op intellectueel eigendom, en ongecensureerde media3 zal hij mogelijk minder bekend zijn. Het Grant Thornton-rapport pleit voor een minder afhankelijke positie ten opzichte van de RvB als het gaat om de relatie met stakeholders. Dat geeft de commissaris de vrijheid in contact te treden, vragen te stellen en verslag te doen. Het rapport pleit verder voor meer controle van buiten de RvB en voor het afleggen van verantwoording naar stakeholders zonder inmenging van de RvB. De NZA-case is ook hierin een leerzame ervaring. Had de RvC hier doortastender opgetreden, met toezicht op informatierisico’s zoals datalekken en met een sluitende controle, onder meer door te valideren of de benodigde controls aanwezig zijn, dan was tijdig aan het licht gekomen dat er interne en externe richtlijnen werden overtreden. Volgens Gotlieb hield de RvB deze informatie echter in de doofpot. Daarom is een CISO die direct rapporteert aan zowel RvB als RvC over vooraf opgestelde criteria een vereiste. De CISO kan dit doen door het (laten) uitvoeren van een stakeholderanalyse waarin technische en juridische afhankelijkheden worden beschreven en deze in te brengen in de vergaderingen van de RvC en de RvB.

3 Voorbeelden van transparante media die publiceren over misstanden (zoals data-incidenten):

https://rejo.zenger.nl/
http://allestoringen.nl/
http://datalossdb.org/
http://www.spaink.net/dutch-data-breaches/
https://www.bof.nl/category/zwartboek-datalekken/
http://www.hallofshame.com/
http://www.pcworld.com/article/2453400/the-biggest-data-breaches-of-2014-so-far.html

Alle bevraagde commissarissen in het Grant Thornton-rapport geven aan dat de kwaliteit van de risicorapportages aan de RvC verbetering behoeft. Dat is ook in lijn met andere meningen van de commissarissen in het onderzoek over risicomanagement. De RvC zal meer gevoed moeten worden met feitelijke data uit de bedrijfsvoering over continuïteit van de onderneming, het vertrouwen dat het publiek heeft en de reputatie die hiermee gepaard gaat. Net als bij boekhouden zal ook de administratie van informatierisico’s actueel moeten zijn. Intelligente systemen kunnen hierin een bijdrage leveren. Bijvoorbeeld Security Information Event Management-systemen (SIEM). Deze systemen hebben echter maar een beperkt effect als de organisatie niet is toegerust om de hoeveelheid data die een SIEM-systeem genereert te kunnen ontvangen, interpreteren en begrijpen en indien nodig actie te ondernemen. De CISO zal eerst van bovenaf moeten vaststellen wat de risico’s zijn, wat de houding is van de organisatie tegenover deze risico’s (risicobereidheid) om vervolgens te kunnen bepalen welke informatie de RvB en RvC nodig hebben om de risico’s adequaat te managen. Deze benodigde informatie kan dan uit een SIEM-systeem onttrokken worden. Dit zal mogelijk maar een fractie zijn van wat een dergelijk systeem kan verzamelen en rapporteren. Vooraf focus aanbrengen vanuit een bedrijfsmatige doelstelling is hier dus van belang. Naast systeeminformatie zal de organisatie ook behoefte hebben aan meer kwalitatieve data, zoals de mate van vertrouwen of de reputatie die een organisatie heeft. Verschillende instrumenten kunnen de CISO helpen in het meten van de reputatie van de organisatie op het internet.

Conclusie
De CISO zal te allen tijde zijn RvB en RvC moeten voeden met feitelijke data over hoe het eraan toegaat binnen de organisatie en de keten(s) waar zij deel van uitmaakt. Om zich een volledig beeld te kunnen vormen, is het dan ook essentieel dat hij zijn eigen logging en monitoring en zijn eigen reporting lines up-to-date houdt. Dit proces kan manueel verlopen, maar deels ook automatisch via dashboard tooling. Alleen op die manier kan hij zijn RvB en RvC voorzien van de meest actuele informatie over risico’s die worden gelopen ten aanzien van de stakeholder(s) en kunnen de RvB en RvC hierover proactief communiceren, onder meer in de verslaglegging (integrated reporting).

Met integrated reporting kan de organisatie zich profileren. Integrated reporting maakt aan alle betrokkenen duidelijk dat zowel de financiële risico’s als arbo-, milieu- en informatierisico’s in kaart zijn gebracht en dat de organisatie er alles aan gedaan heeft om deze het hoofd te bieden. Kortom: het is veilig zaken doen met deze organisatie. Ze zijn daar ‘in control’.

Publicaties van de auteur
Yuri Bobbert schreef in 2010 het boek Maturing Business Information Security, a framework to establish the desired state of security maturity, dat wordt gebruikt op verschillende universiteiten en hogescholen. Vanuit dit boek zijn de MBIS-methode en het MBIS-platform ontstaan (mbis.eu). In 2014 verscheen zijn tweede boek: Hoe Veilig is mijn ‘aandeel’?, Het borgen van Reputatie, Vertrouwen en Continuïteit met de MBIS methode’. Dit artikel is een bewerkte versie van het hoofdstuk ‘Governance en integrated reporting’ dat is opgenomen in dat boek. Dit boek is het resultaat van praktisch en wetenschappelijk onderzoek bij ruim 100 organisaties naar de beveiliging van kritische assets en de wijze waarop bestuurders en managers hun reputatie, vertrouwen en continuïteit kunnen borgen.

Noten
1 Het NRC doet uitgebreid verslag van de NZA-case op http://www.nrc.nl/nieuws/2014/04/10/het-nza-dossier-interne-wanorde-bij-de-toezichthouder/
2 Sinds kort zijn er ook een (rechtstreeks werkende) verordeningen, bijvoorbeeld:

  • Verordening 1606/2002 van 19 juni 2002, PbEG L 243/1 van 11 september 2002 over verplichte toepassing van IFRS in 2005.
  • Verordening (EG) nr. 1725/2003 van de Commissie van 29 september 2003 tot goedkeuring van bepaalde internationale standaarden voor jaarrekeningen.

Literatuur
[CAMP03] K. Campbell, The economic cost of publicly announced information security breaches: Empirical evidence from the stock market, Journal of Computer Security, 11:431-448, 2003.

[FORB12] Forbes, For Top CEOs, Culture Drives Value Creation, http://www.forbes.com/sites/robertreiss/2012/10/10/for-top-ceos-culture-drives-value-creation/, 2012 geraadpleegd op 23 januari 2015.

[IIRC13] IIRC, The international Integrated Reporting Framework,  International Integrated Reporting Council (IIRC), 2013, http://theiirc.org/novi-content/uploads/2013/12/13-12-08-THE–INTERNATIONAL-IR-FRAMEWORK-2-1.pdf, geraadpleegd op 27 januari 2015. [ISAC12] ISACA, Cobit 5 for Information Security, ISACA, 2012.

[ISHI11] M. Ishiguro, T. Hideyuki, K. Matsuura and I. Murase, The Effect of Information Security Incidents on Corporate Values in the Japanese Stock Market, The Graduate School of Interdisciplinary Information Studies, The University of Tokyo, p. 15, 2011.

[KAMP13] N. Kamp-Roelofs, Integrated reporting; Clear vision of true company value in the perception of the ‘share & stakeholder’, 2013.

[KLAA13] A. Klaassen en H. Rijken, RvC moet meer proactief ‘mee ademen’ met bedrijf; Commissarissenonderzoek 2013/2014’ GrantThornton, 2013.

[PWC13] PwC, 16th Annual Global CEO Survey; Dealing with disruption, 2013.

[WEST07] G. Westerman and R. Hunter, IT Risk, Turning Business Threats into Competitive Advantage, Boston MA: Hardvard Business School Press, 2007

[vc_jumbotron title=”Geïnteresseerd?” margin_top=”70″ margin_bottom=”100″ scroll_animation=”fadeIn” scroll_animation_delay=”0″]Wil jij het boek ‘Hoe veilig is mijn aandeel?’ bestellen met 25% korting? Laat dan je gegevens achter en wij nemen contact met je op.

[contact-form-7 id=”2334″ title=”Whitepaper”][/vc_jumbotron]

Gerelateerde artikelen