In een organisatie is het de taak van het benoemings- en governancecomité om diverse factoren in overweging te nemen bij het invullen van vacatures in de raad van bestuur. Kennis van financiën, ervaring in de industrie en op globaal niveau, de wens om invloed uit te oefenen op belanghebbenden en andere specifieke vaardigheden zijn daarbij van belang. Toch hebben bedrijfs eigenaren en aandeelhouders aanzienlijke invloed op de samenstelling van de raad van bestuur. Dit betekent dat zij in wezen bepalen of een cyberdeskundige in de raad wordt opgenomen (Internet Security Alliance, 2020). Ongeacht of de beslissing wordt genomen om een cyberbeveiligingsexpert toe te voegen aan de raad, kunnen de leden van de raad andere middelen inzetten om kennis en inzichten op het gebied van cyberbeveiliging in de boardroom te brengen. Zo kan de raad bijvoorbeeld onafhankelijke en objectieve cyberbeveiligingsexperts uitnodigen voor diepgaande briefings, om de effectiviteit van de geïmplementeerde cyberbeveiligingsprogramma's te valideren. Daarnaast kunnen externe adviseurs, zoals auditors of extern juridisch advies, worden geraadpleegd voor bredere perspectieven op cyberrisico's (Hess & Morton, 2020; Internet Security Alliance, 2020).

Leden van de raad moeten tevens deelnemen aan relevante educatieve programma's op het gebied van cyberbeveiliging, die zowel binnen als buiten de organisatie aangeboden kunnen worden, om op de hoogte te blijven van nieuwe trends in cyberrisico's. Het is van belang om kansen te creëren waarin leden van de raad hun kennis kunnen delen met collega-leden, wat hen verder helpt bij het nemen van weloverwogen beslissingen over cybersecurity-gerelateerde kwesties. Het ontwikkelen van opleidingsmogelijkheden voor bedrijfsleiders, aandeelhouders en leden van de raad is een effectieve manier om invloed uit te oefenen op de besluitvorming van de raad inzake cybersecurity (Internet Security Alliance, 2020).

De meeste leden van de raad zijn experts in hun vakgebied. Hoewel zij vaak over een hoog niveau van expertise beschikken in hun specifieke domein, moeten zij in staat zijn om een brede visie te hanteren bij de beheersing van ondernemingsbrede risico's, inclusief cyberaanvallen (Hess & Morton, 2020). Het is niet verplicht voor een onderneming om een cyberbeveiligingsexpert op de raad van bestuur te benoemen, maar het is van essentieel belang dat de leden van de raad begrijpen wie verantwoordelijk is voor het toezicht op cyberrisico’s binnen de organisatie. Dit toezicht kan liggen bij het bestuur, bij specifieke leden van het senior management of bij de gehele raad van bestuur (Aguilar, 2014; Hess & Morton, 2020; Internet Security Alliance, 2020). Dit toezicht dekt echter niet het beheer van cyberbeveiliging zelf, wat cruciaal is voor het voorkomen en verminderen van cyberinbraken. De leden van de raad moeten zich realiseren dat cyberrisico’s een aanzienlijk bedreiging vormen voor de belanghebbenden, omdat bedrijven zichzelf niet volledig kunnen beschermen tegen alle vormen van cyberaanvallen. Dit is te wijten aan de hoge mate van digitale interconnectie in de huidige wereld, die voortdurend verandert (Aguilar, 2014; Internet Security Alliance, 2020).

Daarnaast kunnen cybercriminelen over geavanceerdere middelen beschikken dan de grootste organisaties, wat het moeilijk maakt om deze criminelen op te sporen of te arresteren, in tegenstelling tot traditionele misdadigers (Aguilar, 2014; Seema et al., 2018; Internet Security Alliance, 2020). Toch kan de raad maatregelen treffen om cyberrisico's beter aan te pakken door de toegang tot security-experts te vergroten. Een voorbeeld is de oprichting van een check-and-balance-systeem waarbij de expertise van bekende cybersecuritydeskundigen wordt ingeroepen. Sommige bedrijven hebben rapportagestructuren gecreëerd waarin onafhankelijke bronnen de cyberrisico's beoordelen, zoals de verantwoordelijke voor het cyberrisicobeheer, de verantwoordelijke voor de risicobeoordeling en de operationele manager van het bedrijf (Internet Security Alliance, 2020). Deze structuur stelt bedrijven in staat om de genomen maatregelen te bevragen en verschillende perspectieven op cyberrisico’s te onderzoeken.

Volgens de National Association of Corporate Directors (2016) werd de kwaliteit van de cybersecurityinformatie die aan de raad van bestuur werd verstrekt, als de laagste beoordeeld in vergelijking met andere soorten informatie. Ongeveer 25% van de directeuren van beursgenoteerde bedrijven in de Verenigde Staten gaven aan niet tevreden te zijn met de kwaliteit van de door het senior management geleverde cybersecurityrapporten (National Association of Corporate Directors, 2016). Dit ongenoegen wordt vaak veroorzaakt door moeilijkheden bij het interpreteren van de informatie, het gebruik ervan om de algehele prestaties van de organisatie te evalueren en de onvoldoende transparantie over de prestaties van de organisatie (National Association of Corporate Directors, 2016, 2017). Cyberrisico’s en cybersecurity zijn relatief nieuwe disciplines in vergelijking met bijvoorbeeld financiële analyses, maar het bestuur moet duidelijke verwachtingen stellen aan het senior management over de indeling van de cybersecurityrapporten. De leden van de raad moeten ook de frequentie en de hoeveelheid details aangeven die het management moet opnemen, en het rapport dient in zakelijke termen geschreven te worden. Het is belangrijk dat de raad zich ervan bewust is dat er mogelijk enige inherente bias in de rapportages van het management aanwezig is, die de ware staat van het cyberrisico-omgeving kunnen bagatelliseren. Uit onderzoek blijkt bijvoorbeeld dat ongeveer 60% van de IT-medewerkers cyberrisico’s niet melden totdat deze moeilijk te mitigeren zijn of waarschijnlijk negatieve gevolgen zullen hebben (Internet Security Alliance, 2020). Daarom is het noodzakelijk dat de raad een cultuur van open en transparante communicatie bevordert, zodat cyberrisico’s effectief kunnen worden gerapporteerd en beheerd.

Het is voor de raad van bestuur belangrijk om duidelijke verwachtingen te stellen voor het senior management en ervoor te zorgen dat een brede, organisatie-overstijgende aanpak wordt toegepast bij het beheren van cyberrisico’s. De raad moet een goed inzicht hebben in de specifieke risico’s waarmee het bedrijf wordt geconfronteerd en over de benodigde middelen beschikken om deze risico’s te beperken. Het succes van de organisatie kan alleen worden gegarandeerd als de raad van bestuur goed geïnformeerd is over het specifieke risicoprofiel en de cyberdreigingen waarmee het bedrijf te maken heeft (Hess & Morton, 2020).

Hoe het C-Suite-beleid voor het Bewaken van Interne Bedreigingen kan worden Vormgegeven

De rol van het C-suite, met name de chief information officer (CIO), de chief information security officer (CISO) en de chief executive officer (CEO), is cruciaal wanneer het gaat om het waarborgen van de cyberveiligheid van een organisatie. Een van de belangrijkste kwesties die het C-suite moet aanpakken, is de beslissing om al dan niet informatie over de monitoringcapaciteiten van de organisatie openbaar te maken aan werknemers. Sommigen binnen de hogere echelons van een bedrijf geloven dat het bekendmaken van monitoringpraktijken de kans op kwaadwillig gedrag of criminele activiteiten door werknemers kan verminderen. Dit kan inderdaad helpen bij het voorkomen van insider-bedreigingen, aangezien werknemers zich bewust worden van de mogelijkheden van het bedrijf om hun gedrag te volgen en te controleren.

Aan de andere kant zijn er ook senior executives die van mening zijn dat het beter is om deze informatie niet te onthullen. Zij veronderstellen dat werknemers met kwaadwillige bedoelingen het risico lopen om gepakt te worden als ze niet weten wat het bedrijf precies kan monitoren. In dit geval biedt het niet onthullen van de monitoringcapaciteiten een strategisch voordeel, omdat het voor kwaadwillige insiders moeilijker wordt om hun acties te verbergen. De uitdaging voor het C-suite ligt in het bepalen of het potentieel om positieve gedragsverandering te bewerkstelligen door transparantie opweegt tegen de risico’s van medewerkers die pogingen ondernemen om de controles te omzeilen.

Een ander belangrijk aspect van het beschermen tegen insider-bedreigingen is het vermogen om potentiële zwaktes in de organisatie te identificeren en te monitoren. Dit omvat zowel de zichtbaarheid van insiders als het herkennen van vroege signalen van slecht gedrag, zoals ongewone netwerktrafiek tijdens ongewone uren, het gebruik van niet-zakelijke applicaties of het bezoeken van ongeautoriseerde geografische locaties, bijvoorbeeld naar landen die bekend staan om cyberdreigingen, zoals China of Rusland. Het C-suite moet verder alert zijn op ongewoon offline gedrag, zoals het gebruik van encryptie voor niet-zakelijke doeleinden, het verplaatsen van grote hoeveelheden gegevens naar USB-apparaten of mobiele opslag, en het afdrukken van ongebruikelijke volumes van documenten buiten normale werkuren. Deze indicatoren kunnen wijzen op verhoogde risico’s of potentiële incidenten van insider-bedreigingen.

Het vaststellen van procedures voor het onderzoeken en herstellen van niet-kritieke overtredingen is een andere cruciale stap voor het C-suite. Dit voorkomt dat het management wordt overspoeld door valse positieve signalen en maakt het mogelijk om zich te concentreren op de ernstigere gevallen. Automatische systemen voor het corrigeren van niet-kritieke overtredingen kunnen helpen om de werkdruk van het C-suite te verlichten. Deze systemen kunnen eenvoudige waarschuwingen sturen naar de medewerkers om hen bewust te maken van de risico’s van hun gedrag. Als een situatie escaleert naar een ernstige overtreding, kan het C-suite maatregelen nemen, zoals het beëindigen van sessies of het isoleren van informatie, waarna compliance-officieren verder handelen om ongeautoriseerd gedrag te stoppen.

Daarnaast moeten de leiders van de organisatie bepalen welke incidenten nader onderzocht moeten worden. Dit omvat het identificeren van drempels voor de ernst van de overtredingen. Een voorbeeld hiervan is de ontdekking van een USB-kopie van een eenvoudig bestand. Dit zou doorgaans geen reden zijn voor een grondig onderzoek. Echter, als een groot aantal bestanden op ongewone tijden wordt gedownload, bijvoorbeeld door een netwerkbeheerder of een recent ontslagen medewerker, kan dit aanleiding geven voor een diepgaander onderzoek. In sommige gevallen kan het C-suite besluiten externe experts in te schakelen, bijvoorbeeld forensische specialisten, om de zaak verder te onderzoeken, vooral als de betrokken medewerker heeft geprobeerd zijn activiteiten te verbergen door logs te wissen of hackingtools te gebruiken.

Het is echter van belang te beseffen dat niet alle incidenten eenvoudig te voorspellen zijn, zelfs met uitgebreide monitoring en voorzorgsmaatregelen. Soms kunnen meldingen van buitenaf of incidenten die niet direct met digitale middelen te maken hebben, wijzen op een potentieel gevaar. Bijvoorbeeld, een werknemer die in een gesprek zijn onvrede over de organisatie uit of een klokkenluider die vertrouwelijke bedrijfsinformatie op een andere locatie heeft gezien, kan een aanwijzing zijn dat er iets ernstigs aan de hand is. In dergelijke gevallen is een grondig onderzoek door het C-suite essentieel, waarbij geavanceerde beleidsmaatregelen en protocollen voor digitale misdrijven kunnen helpen om verdachte activiteiten snel te identificeren.

Bij het bepalen of en hoe te onderzoeken, is het voor het C-suite van belang een afgewogen beslissing te nemen. Dit kan variëren van het verzamelen van digitale gegevens tot het uitschakelen van een medewerker uit het systeem om de verdere verspreiding van vertrouwelijke informatie te voorkomen. Het C-suite moet hierbij wel rekening houden met de praktische beperkingen van de situatie, aangezien niet altijd alle overtredingen te voorzien zijn.

Het succes van deze strategieën hangt uiteindelijk af van een holistische benadering van cybersecurity die zowel technologie als menselijk gedrag integreert. Daarbij speelt niet alleen de technologie zelf, maar ook de cultuur binnen de organisatie een belangrijke rol. Dit maakt het essentieel voor het C-suite om voortdurend aandacht te besteden aan zowel de technische als menselijke aspecten van beveiliging.

Hoe optimaal warmtebeheer te implementeren in PCB-ontwerpen voor betere prestaties en duurzaamheid
Hoe de Griekse en Arabische Geneeskunde Europa beïnvloedden in de Middeleeuwen
Hoe hebben altcoins zoals Litecoin, Namecoin en Ripple de blockchain en cryptocurrency geëvolueerd?
Hoe begrijpen we het gedrag van PDLC's (Polymeer Dispersed Liquid Crystals)?
Hoe je een uitgebalanceerd gerecht met kip en witloof maakt, en waarom smaak en voorbereiding cruciaal zijn
Hoe Microbiële Corrosie de Duurzaamheid van Stalen Structuren in Mariene Omgevingen Beïnvloedt