Cybersecurity in de boardroom: het belang van een warme handshake

Een uniek internationaal onderzoek naar cybersecurity-rapportering aan raden van bestuur

De toenemende cyberdreigingen maken een degelijke rapportering over cybersecurity naar raden van bestuur steeds belangrijker. Een nieuw internationaal rapport, een samenwerking tussen het Center for Corporate Governance in St-Gallen, Zwitserland en het Centrum voor Cybersecurity België, biedt bestuurders een framework om hun rol in het cybersecuritybeleid beter te vervullen. "Het is cruciaal om een warme handshake te creëren tussen bestuur en management," zegt Chris Verdonck, initiatiefnemer van het project. 

Cyberdreigingen nemen toe

"De dreiging van cybercrime neemt significant toe. Ook cyberactivisme, spionage en sabotage worden steeds reëler door de geopolitieke situatie," waarschuwt Miguel De Bruycker, directeur-generaal van het Centrum voor Cybersecurity België (CCB). 

Belgische bedrijven lopen hierbij zeker gevaar. "Cybercrime houdt geen rekening met landsgrenzen of sectoren," aldus De Bruycker. "Iedereen die gehackt kan worden en waar losgeld aan gevraagd kan worden, zit in het vizier. Zeker onze essentiële dienstverlening is een target."

Chris Verdonck

Een uniek onderzoek

Het rapport is het resultaat van een uniek internationaal onderzoek waarbij 67 grote bedrijven in België, Zwitserland en Australië werden bevraagd. "Van die 67 bedrijven waren 63% beursgenoteerd, met een gemiddelde marktkapitalisatie die richting de 20 miljard gaat," licht Chris Verdonck toe, senior advisor van het project. 

De onderzoekers spraken uitsluitend met boardmembers en analyseerden tientallen zogenaamde 'gesanitiseerde' cybersecurity-rapporten waarin vertrouwelijke informatie was verwijderd.

De handshake als cruciaal moment

"Voor we het project begonnen, had ik verschillende gesprekken met boardmembers over het gebrek aan comfort dat ze hadden bij deze topic tijdens boardmeetings," vertelt Verdonck. "Nochtans is die handshake tussen board en management is een cruciaal element." 

Volgens Verdonck vindt die handshake plaats tijdens de boardmeeting, wanneer cybersecurity op de agenda staat en er een rapport over cybersecurity op tafel ligt. "Je kunt een warme en een koude handshake hebben, en je moet met twee zijn voor een warme handshake. Als een van beiden een flauw handje geeft, dan kun je niet spreken van een warme handshake."

Miguel De Bruycker

Werk aan de winkel

Uit het onderzoek blijkt dat slechts 65% van de geïnterviewden aangaf over de juiste informatie te beschikken om correct geïnformeerde beslissingen te kunnen nemen. "En ik denk dat dat zelfs redelijk optimistisch is," merkt De Bruycker op. 

"We merken dat er op heel veel verschillende manieren wordt gerapporteerd," vervolgt De Bruycker. "De ene vorm van rapportering is al wat duidelijker dan de andere, maar er zit niet echt een lijn in. Het gaat soms van zeer technisch - naar onze mening soms te technisch voor dat niveau - en mist vaak de link met de bedrijfsrisico's. Dat is uiteindelijk wel het doel: dat experten op vlak van cybersecurity in staat zijn om die informatie te vertalen naar een taal die gesproken wordt op dat boardniveau." 

"Als boardmember zit je met een duidelijk probleem," stelt Verdonck. "Op basis van wat we gezien heb in de rapporten, krijg je als bestuurder meer niet dan wel het volledige plaatje te zien. En dat volledige beeld is natuurlijk essentieel voor een raad van bestuur om zijn taken goed te kunnen vervullen." 

Drie kernpunten uit het framework

Zonder al te diep in detail te treden, geeft Verdonck drie kernpunten van het framework dat in het rapport wordt voorgesteld: 

  1. Ken je omgeving: "Begrijp wie je bent en wat je doet. Wat is het risiconiveau van je organisatie? Hoe lang ben je al bezig met cybersecurity?" 

  1. Organiseer je board: "Denk na over hoe je cybersecurity bespreekt en organiseert binnen de raad van bestuur." 

  1. Pas je rapportering aan: "De rapportering moet aansluiten bij waar je staat als organisatie. Een beginnende organisatie heeft een andere rapportering nodig dan een organisatie die al jaren met cybersecurity bezig is."

Boards weten vaak niet wat te vragen

"Boards weten vaak niet wat ze moeten vragen in dit domein ", benadrukt De Bruycker. "Een dergelijk framework kan daar absoluut bij helpen, zodat boardmembers zich meer op hun gemak voelen, meer comfortabel zijn bij het topic, en ook durven vragen te stellen." 

Niemand durft op dat niveau graag toe te geven dat hij of zij weinig kennis heeft van een onderwerp. " Een framework zoals dit biedt structuur en draagt bij aan het vertrouwen dat we op een correcte manier aan cyberveiligheid werken." 

Het rapport met de titel "Cyber Security Board Reporting - The Board's Perspective" zal midden april beschikbaar zijn via www.cybersecurityboardreporting.com. Je kan nu al vooraf inschrijven.

De promotiecode voor de aankoop van dit rapport is 'CyberBoardReporting'.

Deze code geeft recht op 15% korting op de totaalprijs.

Let op: deze korting is exclusief voor Guberna-leden en is geldig tot het einde van het jaar 2025.

U heeft geen toegang tot onderstaande content

Om onderstaande content te lezen moet u een lid zijn of ingelogd zijn.