Bestuur ik onze digitale veiligheid zo wel goed?

Digitalisatie en de daaraan gekoppelde automatisering zijn relatieve nieuwkomers binnen onze organisaties. We zijn al heel ver in het digitaal maken van al onze analoge informatie en we zijn steeds meer digitale technieken aan het inzetten om onze processen effectiever en efficiënter te maken.

Daarnaast geeft digitalisatie ons mogelijkheden die we voorheen in de fysieke wereld niet hadden. Denk je maar eens in hoe onze economie ervoor had gestaan wanneer we werken, consumeren en ontmoeten niet online hadden kunnen doen de afgelopen twee jaar.

Hierdoor wordt onze afhankelijkheid van digitale systemen steeds groter en zal iedereen binnen een organisatie ook moeten sturen en managen op robuuste digitale processen en afhankelijkheden.

“Als je als bestuurder moet vragen of er door Log4j een extra voorziening in de jaarrekening van 2021 nodig is, dan heb je je werk niet goed gedaan.” 

Organisaties zijn nog aan het leren hoe ze met alle effecten van digitalisatie moeten omgaan. De positieve effecten worden vaak uitgebreid onderzocht en meegenomen in de businesscase èn bij de berekening van de ROI. De negatieve effecten komen vaak later goed in beeld … wanneer het mis gaat.

En het gaat mis op twee manieren. Ten eerste zien we steeds meer zichtbare, directe aanvallen van buiten de organisatie. De recente golven van gijzelsoftware c.q. ransomware aanvallen zijn daar het zichtbare bewijs van.

De tweede manier zijn ‘kwetsbaarheden in de software’, zoals dat heet. Die ontstaan meestal door fouten in de programmering of bij de inrichting van systemen. Maar we zien ze ook steeds meer ontstaan doordat allerlei software en systemen worden gecombineerd op een manier die ontwikkelaar niet had voorzien of bedoeld. De recente Log4j kwetsbaarheid is hier een overduidelijk voorbeeld van.

Dit soort kwetsbaarheden kunnen enerzijds tot spontane storingen en uitval van systemen leiden, waardoor de daarvan afhankelijke bedrijfsprocessen ook worden verstoord. Anderzijds creëren ze een mogelijkheid voor criminelen om onze systemen binnen te dringen en de organisatie af te persen, te bedreigen, te bestelen of combinaties daarvan.

“Neem ik voldoende initiatief op onze digitale veiligheid of ben ik met name reactief bezig?”

 

 

Als nu blijkt dat een stukje software dat wereldwijd wordt gebruikt fouten bevat en mogelijk ook jouw organisatie kwetsbaar maakt omdat het in allerlei systemen verstopt zit, mag je daar dan als bestuurder geen vragen over stellen? Mag je daar dan geen aandacht voor hebben? Moet je je reactief zorgen maken als je alleen maar reactief kan handelen?

Sterker nog, je moet daar juist aandacht voor hebben en vragen over stellen. Maar als je de afgelopen maanden en jaren gedaan hebt wat je had moeten doen, hoef je je geen zorgen te maken over de jaarrekening. Of zorgen over eventuele negatieve effecten van zo’n incident op jouw klanten.

Als je voldoende initiatief hebt ontplooid, dan heb je ervoor gezorgd dat jouw organisatie weerbaar is. Dat jouw organisatie haar eigen processen snapt en duidelijk in beeld heeft hoe die afhankelijk zijn van de digitale systemen binnen en buiten de organisatie. En zijn de systemen beveiligd, de processen en procedures afgesproken en geoefend om de effecten van verstoringen te beperken of te voorkomen.

Als bestuurder zou je je dus moeten afvragen of die mechanismen nog steeds goed werken of dat er reden is om de inrichting te heroverwegen.  Een betere vraag voor een bestuurder zou dus zijn: “Waar moeten we onze strategie ten aanzien van digitale weerbaarheid nog verbeteren op basis van de recente ontwikkelingen om ook in de toekomst weerbaar te blijven?”

Je moet dus als bestuurder initiatief nemen en erop sturen dat de organisatie processen aanpast en procedures inricht die de weerbaarheid borgen en (financiële) risico’s ten gevolge van kwetsbaarheden dusdanig reduceren dat die binnen de normale/dagelijkse bedrijfsvoering kunnen worden opgevangen. Dan is er dus geen voorziening in de jaarrekening nodig of een tussentijdse winstwaarschuwing naar de aandeelhouders.

Een goede bestuurder moet niet reageren maar het initiatief nemen om te anticiperen op bedreigingen voor de continuïteit van de organisatie en die organisatie daar weerbaar tegen maken.

En dan hoef je als bestuurder niet slecht te slapen vanwege alle cyberhype om ons heen. Een bestuurder van een weerbare organisatie slaapt beter.