Toezicht houden op cybercrime

Best Practice
Toezichtvragen beantwoord door het governancepanel

‘Ik ben commissaris en inmiddels 63 jaar. Mijn collega- toezichthouders en ik maken zich in toenemende mate zorgen over de risico’s van cybercrime. We werken met computers, doen wat we kunnen om met de tijd mee te gaan, maar zaken als cybercrime zijn zo complex dat wij ons afvragen of het toezicht erop voldoet. Hoe kunnen we een model introduceren zodat we in elk geval kunnen aantonen dat we alles hebben gedaan om grip te krijgen op dit soort ontwikkelingen? Met name vanuit aansprakelijkheidsoptiek?’

Freek Warmelink van AON geeft antwoord vanuit een verzekeringsperspectief:

‘Om te beginnen: u heeft de ernst van de problematiek goed ingeschat. TNO concludeerde op basis van recent onderzoek dat cybercrime de Nederlandse samenleving jaarlijks ten minste tien miljard euro kost. Het gaat niet alleen om de financiële gevolgen. Cyberrisico’s stellen ook de veiligheid, reputatie en zelfs de continuïteit van organisaties op de proef. Er zijn praktische adviezen te geven die eraan bijdragen cyberrisico’s het hoofd te bieden.

Leidend hierin zijn de drie stappen die AON binnen de aanpak van cyberrisicomanagement hanteert: analyseren, beheersen en bestrijden. Dit zijn natuurlijk niet allemaal taken voor de commissaris, maar met dit model in de hand kan de commissaris wel het bestuur de opdracht geven het thema langs deze lijnen te benaderen.

Analyseren

  • Maak een zorgvuldige inventarisatie van de cyberrisico’s die voor uw organisatie relevant zijn (‘treat & transfer’) en zorg dat medewerkers zich hiervan bewust zijn;
  • Richt een cyberrisicomanagementsysteem in. Of integreer cyberrisico’s in uw risicomanagementactiviteiten;
  • Laat de verantwoordelijkheid voor cyberrisico’s niet liggen bij de afdeling ICT of security. Het betreft een organisatiebrede verantwoordelijkheid, van werkvloer tot management.

Beheersen

  • Laat de verzekeringsportefeuille beoordelen op dekking tegen cyberrisico’s;
  • Verken het nut en de noodzaak voor het afsluiten van een fraudeverzekering met adequate dekking voor computerfraude;
  • Check de bestaande (beroeps)aansprakelijkheidsverzekering op dekking van cyberrisico’s;
  • Houd bij verlenging van een schadeverzekering ook rekening met de waarde van de elektronische data die de onderneming beheert. Let dus niet alleen op de waarde van de hardware;
  • Besef dat bestuurders en commissarissen in toenemende mate mederisicodrager zijn van cyberrisico’s;
  • Overweeg een aansprakelijkheidsverzekering voor bestuurders af te sluiten;
  • Voer een business impact analyse uit om duidelijk te krijgen welke gevolgen cyberrisico’s kunnen  hebben voor uw organisatie;
  • Gebruik hiervoor een scenariobenadering en ga zeker niet voorbij aan het ‘worst case scenario’;
  • Ken de bedrijfsprocessen die het meest gevoelig zijn voor cyberrisico’s. Ken ook uw afhankelijkheden buiten de organisatie, bijvoorbeeld van derden en overheden;
  • Ontwikkel een strategie om de gevolgen van uitval, onbetrouwbaarheid of onveiligheid te beheersen. Doe dit bijvoorbeeld in de vorm van een Business Continuity Plan (BCP) gericht op cyberrisico’s.

Bestrijden

  • Bereid uw incident- en crisismanagement toereikend voor;
  • Besteed in een incident- of crisismanagementplan aandacht aan wat uw organisatie in het geval van een incident of crisis nodig heeft;
  • Selecteer geschikte functionarissen, garandeer hun bereikbaarheid, beschikbaarheid en  vervanging;
  • Train leden van de crisismanagementorganisatie periodiek, óók op cyberrisico’s;
  • Focus tijdens een cyberincident op de kernactiviteiten van uw organisatie. Draag daarbij zorg voor  inzicht in impact op derden (zoals afnemers en leveranciers) van het cyberincident. Pas stakeholdermanagement actief toe;
  • Bestrijd een cyberincident niet alleen vanuit technisch perspectief en met behulp van technische middelen. Werk vanuit een bedrijfsbreed perspectief en weeg technische belangen altijd af tegen bredere organisatiebelangen. De beste technische oplossing is niet noodzakelijk de beste oplossing voor uw organisatie;
  • Wacht bij ICT-incidenten nooit op dé kant-en-klare oplossing. Houd altijd rekening met een vertraagde, gedeeltelijke of tijdelijke oplossing van de technische problemen en draag zorg voor een adequate (tijdelijke) aansluiting van de kernactiviteiten hierop;
  • Zorg ervoor dat het crisismanagement zoveel mogelijk ‘plug and play’ is uitgevoerd. Dit organiseert u door in uw keuze van crisismanagementprocessen en -middelen, onder meer, passende uitwijkvoorzieningen te treffen.

AON heeft over dit onderwerp een whitepaper uitgebracht. Lees de volledige versie op:
www.aon.com

Auteur(s)
Redactie
Dit artikel is gepubliceerd in
gu2012-05

Nationaal Register

Jan van Nassaustraat 93
2596 BR Den Haag
T 070-324 30 91
info@nationaalregister.nl

Volg ons op social media

Governance Update nieuwsbrief