By continuing on this site you have agreed to cookies being placed and accessed by this website. More information and adjusting cookie settings.

Robeco uses cookies to analyze your visit to this site, to share information via social media and to personalize the site and advertisements in line with your own preferences. By clicking on agree or by continuing on this site, you agree to the above. More information and adjusting cookie settings.

AGREE

Robeco uses cookies to analyze your visit to this site, to share information via social media and to personalize the site and advertisements in line with your own preferences. By clicking on agree or by continuing on this site, you agree to the above. More information and adjusting cookie settings.

AGREE

By continuing on this site you have agreed to cookies being placed and accessed by this website. More information and adjusting cookie settings.

Cyberrisico moet worden aangepakt op directieniveau

04-08-2016 | Visie | Carola van Lamoen Vanwege de toenemende bedreiging voor bedrijven en beleggers, dient cyberrisico op directieniveau aangepakt te worden, zegt het hoofd van het team Governance and Active Ownership bij Robeco.

In het kort:
  • Cyberrisico stijgt op agenda corporate governance
  • Toezicht op directieniveau essentieel voor aanpak bedreiging en responsplannen
  • Viewpoint verschaft beleggers munitie om dialoog te starten
Veel bedrijven denken dat onlineveiligheidsrisico's (ook wel cyberrisico’s genoemd) alleen bestaan uit hacking, iets wat ze kunnen bestrijden met antivirussoftware, terwijl andere bedrijven nalaten hun personeel op te leiden in de omgang met dit soort problemen, waarschuwt Carola van Lamoen. Voor sommige bedrijven vormt zelfs de software die zij gebruiken voor hun normale bedrijfsactiviteiten, al een ernstig risico, zegt zij.

Deze kwestie werd uitgebreid besproken op de jaarlijkse conferentie van het International Corporate Governance Network (ICGN), waarbinnen Van Lamoen medevoorzitter is van de Corporate Risk Oversight Committee. De commissie presenteerde een Viewpoint waarin de doelstellingen van de commissie voor cyberrisico werden uiteengezet. Het document werd breed verspreid onder alle ICGN-leden.

Toezicht op bedrijfsrisico's

“Een van de belangrijkste conclusies was dat cyberrisico inmiddels zo ernstig is, dat bestuurders zich daar rechtstreeks mee dienen te bemoeien als onderdeel van hun toezichthoudende rol”, aldus Van Lamoen, hoofd van het team Governance and Active Ownership bij Robeco. “Vroeger was cyberrisico iets waar een of andere afdeling op de vierde verdieping zich mee bezighield. Maar dat station zijn we al lang gepasseerd.”

“Het gaat er nu om dat je het toezicht op cyberrisico goed organiseert en dat bestuurders zich bewust zijn van de noodzaak tot handelen en communiceren. Er valt nog veel te verbeteren omdat twee belangrijke risico's zijn toegenomen: het risico dat je systeem wordt gehackt omdat cybercriminelen verder professionaliseren en het risico dat software onjuist wordt geïmplementeerd. Zelfs zonder hacker loop je grote risico's als je je IT-zaakjes niet goed op orde hebt.”

Natuurlijk beschikt niet ieder lid van de directie over voldoende technische kennis, maar dat ontslaat bestuurders niet van de verplichting het probleem aan te pakken, voegt George Dallas, Policy Director bij de ICGN hieraan toe. “Cyberrisico vormt een wereldwijde bedreiging voor bedrijven en beleggers. Het hoort ook bij corporate governance dat je onderneming de juiste stappen zet om zowel inzicht te krijgen in als bescherming te realiseren tegen cyberaanvallen in het bijzonder – maar ook andere IT-risico's in breder verband”, zegt hij.

'Niet-uitvoerende bestuurders moeten werken aan bewustzijn rond cyberrisico's'

“De technische complexiteit die verbonden is aan cyberrisico's, vormt een grote uitdaging. Ook al hebben veel bestuurders geen sterke technische achtergrond, ze blijven wel verantwoordelijk voor het goed beheren van die risico's. Als wereldwijde, door beleggers geleide organisatie is ICGN ervan overtuigd dat niet-uitvoerende bestuurders moeten werken aan het bewustzijn rond cyberrisico's en dat beleggers zowel met bestuur als management de dialoog aan moeten gaan om ervoor te zorgen dat deze risico's voldoende aandacht en toezicht krijgen.”

De nieuwe Viewpoint verschaft beleggers munitie om met bedrijven de dialoog aan te gaan over dit onderwerp. “We hebben een overzicht opgesteld van onderwerpen en vragen die relevant zijn als je met een bedrijf in gesprek gaat. Vragen die beleggers direct aan bestuurders kunnen stellen op beleidsniveau”, vertelt Van Lamoen. “Een conferentie is een goede plek om een Viewpoint als deze te bespreken. In feite willen we graag dat over dit onderwerp discussie ontstaat.”

Opvallende hacks

De laatste tijd waren er een paar opvallende cyberaanvallen: de USD 81 miljoen die werd ontfutseld aan Aziatische financiële instellingen via malware, betalen voor het weer op de been helpen van je computersysteem en hackers die gevoelige creditcardgegevens stalen van webshops.

Een voorbeeld van de dramatische gevolgen van onjuiste implementatie van software was Knight Capital. Het bedrijf nam niet-geteste software in gebruik in een productieomgeving, terwijl in de software een bug zat. Het in gebruik nemen van de software leidde tot een grote storing in de koersen van 148 bedrijven die zijn genoteerd aan de New York Stock Exchange. De koers van Knight Capital kelderde met 70%.

Van Lamoen denkt dat het gevaar bestaat dat bedrijven die gehackt worden, dit uit schaamte stilhouden. Beleggers weten dan van niets. “Dat verschilt wel van bedrijf tot bedrijf. Natuurlijk is het voor een belegger allereerst belangrijk te weten hoe een bedrijf hiermee omgaat. Dat vraagt om transparantie over wie eindverantwoordelijk is, hoe cyberrisico's in kaart worden gebracht en welke systemen aanwezig zijn om incidenten te voorkomen, en als er dan al iets gebeurt, hoe dit wordt aangepakt”, zegt ze.

Bedrijfscultuur essentieel

Sommige virussen komen een bedrijf binnen als een medewerker op een computer in een bedrijfsnetwerk op een link in zijn mail klikt. Hij is zich er niet van bewust dat die link naar malware leidt die slim genoeg is om firewalls te omzeilen. “Het gaat er dus om dat je een cultuur kweekt waarin mensen zich niet bezwaard voelen een probleem te melden als er iets fout gaat. Dat ze weten dat het niet melden van het probleem grote schade kan berokkenen aan het bedrijf”, zegt Van Lamoen.

“Dit begint al helemaal bovenin, via toezicht op directieniveau. Bestuurders moeten de juiste mensen en middelen ter beschikking stellen die met dit soort problemen om kunnen gaan. Dit was een groot discussiepunt tijdens de conferentie. Hoeveel heb je daar eigenlijk voor nodig en wat is voldoende? Het is moeilijk te zeggen – je weet pas dat het niet voldoende is, als er iets mis gaat. Maar we begrijpen natuurlijk ook dat er grenzen zijn aan wat een bedrijf kan doen."

De Viewpoint bevat drie punten van overweging voor beleggers. Het advies is dat bedrijven beschikken over:
  • Toezicht op strategische processen en plannen: onder andere een beoordeling van de bedrijfsactiviteiten die het meest gevoelig zijn voor cyberaanvallen en welke responses zijn opgenomen in de risicostrategie van het bedrijf;

  • Toezicht op programma voor risicobeheer: hoofdzaak is hier hoe het bedrijf zorgt voor een betere aansluiting tussen de zakelijke activiteiten en de IT-strategie, welke prioriteiten er zijn en hoe die worden gefinancierd, en of medewerkers opleiding ontvangen;

  • Gereedheid om op risico's te reageren: in de eerste plaats of het risicoresponsplan van het bedrijf volledig rekening houdt met eventualiteiten en of waarschuwingssystemen aanwezig zijn; daarnaast een lijst van de tien laatste IT-problemen en hoe deze zijn opgelost.

“Al met al blijkt hieruit wel hoe groot de noodzaak is dat bestuurders zorgen voor een benadering die aansluit bij een complexe, dynamische omgeving”, verklaart Van Lamoen. “Het is essentieel dat het bedrijf toezicht op cyberrisico in strategie en risicomanagement integreert, vooral waar het gaat om kritische bedrijfsgegevens en informatie.”

Carola van Lamoen

Carola van Lamoen

Hoofd Governance & Active Ownership
"Het doel van onze engagement is het verbeteren van het duurzame gedrag van de bedrijven waarin Robeco belegt. Dit is op de langere termijn in het belang van het bedrijf, onze klanten en de maatschappij."
Deel deze pagina:

Ontdek de nieuwste inzichten

Join the conversation



Nieuwsbrief

Meld u aan voor onze e-mail nieuwsbrief om updates te ontvangen en op de hoogte te blijven van aankomende webinars.