belgiumnl
Cyberrisico moet worden aangepakt op directieniveau

Cyberrisico moet worden aangepakt op directieniveau

04-08-2016 | Visie

Vanwege de toenemende bedreiging voor bedrijven en beleggers, dient cyberrisico op directieniveau aangepakt te worden, zegt het hoofd van het team Governance and Active Ownership bij Robeco.

 • Carola van Lamoen
  Carola
  van Lamoen
  Head of Active Ownership

In het kort:

 • Cyberrisico stijgt op agenda corporate governance
 • Toezicht op directieniveau essentieel voor aanpak bedreiging en responsplannen
 • Viewpoint verschaft beleggers munitie om dialoog te starten

Veel bedrijven denken dat onlineveiligheidsrisico's (ook wel cyberrisico’s genoemd) alleen bestaan uit hacking, iets wat ze kunnen bestrijden met antivirussoftware, terwijl andere bedrijven nalaten hun personeel op te leiden in de omgang met dit soort problemen, waarschuwt Carola van Lamoen. Voor sommige bedrijven vormt zelfs de software die zij gebruiken voor hun normale bedrijfsactiviteiten, al een ernstig risico, zegt zij.

Deze kwestie werd uitgebreid besproken op de jaarlijkse conferentie van het International Corporate Governance Network (ICGN), waarbinnen Van Lamoen medevoorzitter is van de Corporate Risk Oversight Committee. De commissie presenteerde een Viewpoint waarin de doelstellingen van de commissie voor cyberrisico werden uiteengezet. Het document werd breed verspreid onder alle ICGN-leden.

Ontdek de nieuwste inzichten op het gebied van duurzaamheid
Ontdek de nieuwste inzichten op het gebied van duurzaamheid
Aanmelden

Toezicht op bedrijfsrisico's

“Een van de belangrijkste conclusies was dat cyberrisico inmiddels zo ernstig is, dat bestuurders zich daar rechtstreeks mee dienen te bemoeien als onderdeel van hun toezichthoudende rol”, aldus Van Lamoen, hoofd van het team Governance and Active Ownership bij Robeco. “Vroeger was cyberrisico iets waar een of andere afdeling op de vierde verdieping zich mee bezighield. Maar dat station zijn we al lang gepasseerd.”

“Het gaat er nu om dat je het toezicht op cyberrisico goed organiseert en dat bestuurders zich bewust zijn van de noodzaak tot handelen en communiceren. Er valt nog veel te verbeteren omdat twee belangrijke risico's zijn toegenomen: het risico dat je systeem wordt gehackt omdat cybercriminelen verder professionaliseren en het risico dat software onjuist wordt geïmplementeerd. Zelfs zonder hacker loop je grote risico's als je je IT-zaakjes niet goed op orde hebt.”

Natuurlijk beschikt niet ieder lid van de directie over voldoende technische kennis, maar dat ontslaat bestuurders niet van de verplichting het probleem aan te pakken, voegt George Dallas, Policy Director bij de ICGN hieraan toe. “Cyberrisico vormt een wereldwijde bedreiging voor bedrijven en beleggers. Het hoort ook bij corporate governance dat je onderneming de juiste stappen zet om zowel inzicht te krijgen in als bescherming te realiseren tegen cyberaanvallen in het bijzonder – maar ook andere IT-risico's in breder verband”, zegt hij.

'Niet-uitvoerende bestuurders moeten werken aan bewustzijn rond cyberrisico's'

“De technische complexiteit die verbonden is aan cyberrisico's, vormt een grote uitdaging. Ook al hebben veel bestuurders geen sterke technische achtergrond, ze blijven wel verantwoordelijk voor het goed beheren van die risico's. Als wereldwijde, door beleggers geleide organisatie is ICGN ervan overtuigd dat niet-uitvoerende bestuurders moeten werken aan het bewustzijn rond cyberrisico's en dat beleggers zowel met bestuur als management de dialoog aan moeten gaan om ervoor te zorgen dat deze risico's voldoende aandacht en toezicht krijgen.”

De nieuwe Viewpoint verschaft beleggers munitie om met bedrijven de dialoog aan te gaan over dit onderwerp. “We hebben een overzicht opgesteld van onderwerpen en vragen die relevant zijn als je met een bedrijf in gesprek gaat. Vragen die beleggers direct aan bestuurders kunnen stellen op beleidsniveau”, vertelt Van Lamoen. “Een conferentie is een goede plek om een Viewpoint als deze te bespreken. In feite willen we graag dat over dit onderwerp discussie ontstaat.”

Opvallende hacks

De laatste tijd waren er een paar opvallende cyberaanvallen: de USD 81 miljoen die werd ontfutseld aan Aziatische financiële instellingen via malware, betalen voor het weer op de been helpen van je computersysteem en hackers die gevoelige creditcardgegevens stalen van webshops.

Een voorbeeld van de dramatische gevolgen van onjuiste implementatie van software was Knight Capital. Het bedrijf nam niet-geteste software in gebruik in een productieomgeving, terwijl in de software een bug zat. Het in gebruik nemen van de software leidde tot een grote storing in de koersen van 148 bedrijven die zijn genoteerd aan de New York Stock Exchange. De koers van Knight Capital kelderde met 70%.

Van Lamoen denkt dat het gevaar bestaat dat bedrijven die gehackt worden, dit uit schaamte stilhouden. Beleggers weten dan van niets. “Dat verschilt wel van bedrijf tot bedrijf. Natuurlijk is het voor een belegger allereerst belangrijk te weten hoe een bedrijf hiermee omgaat. Dat vraagt om transparantie over wie eindverantwoordelijk is, hoe cyberrisico's in kaart worden gebracht en welke systemen aanwezig zijn om incidenten te voorkomen, en als er dan al iets gebeurt, hoe dit wordt aangepakt”, zegt ze.

Bedrijfscultuur essentieel

Sommige virussen komen een bedrijf binnen als een medewerker op een computer in een bedrijfsnetwerk op een link in zijn mail klikt. Hij is zich er niet van bewust dat die link naar malware leidt die slim genoeg is om firewalls te omzeilen. “Het gaat er dus om dat je een cultuur kweekt waarin mensen zich niet bezwaard voelen een probleem te melden als er iets fout gaat. Dat ze weten dat het niet melden van het probleem grote schade kan berokkenen aan het bedrijf”, zegt Van Lamoen.

“Dit begint al helemaal bovenin, via toezicht op directieniveau. Bestuurders moeten de juiste mensen en middelen ter beschikking stellen die met dit soort problemen om kunnen gaan. Dit was een groot discussiepunt tijdens de conferentie. Hoeveel heb je daar eigenlijk voor nodig en wat is voldoende? Het is moeilijk te zeggen – je weet pas dat het niet voldoende is, als er iets mis gaat. Maar we begrijpen natuurlijk ook dat er grenzen zijn aan wat een bedrijf kan doen."

De Viewpoint bevat drie punten van overweging voor beleggers. Het advies is dat bedrijven beschikken over:

 • Toezicht op strategische processen en plannen: onder andere een beoordeling van de bedrijfsactiviteiten die het meest gevoelig zijn voor cyberaanvallen en welke responses zijn opgenomen in de risicostrategie van het bedrijf;
 • Toezicht op programma voor risicobeheer: hoofdzaak is hier hoe het bedrijf zorgt voor een betere aansluiting tussen de zakelijke activiteiten en de IT-strategie, welke prioriteiten er zijn en hoe die worden gefinancierd, en of medewerkers opleiding ontvangen;
 • Gereedheid om op risico's te reageren: in de eerste plaats of het risicoresponsplan van het bedrijf volledig rekening houdt met eventualiteiten en of waarschuwingssystemen aanwezig zijn; daarnaast een lijst van de tien laatste IT-problemen en hoe deze zijn opgelost.

“Al met al blijkt hieruit wel hoe groot de noodzaak is dat bestuurders zorgen voor een benadering die aansluit bij een complexe, dynamische omgeving”, verklaart Van Lamoen. “Het is essentieel dat het bedrijf toezicht op cyberrisico in strategie en risicomanagement integreert, vooral waar het gaat om kritische bedrijfsgegevens en informatie.”

Logo

Disclaimer

De informatie op deze website is uitsluitend bedoeld voor professionele partijen. Een professioneel belegger is: een belegger die beroepsmatig over voldoende kennis, deskundigheid en ervaring beschikt om de financiële risico’s van de zelf genomen beleggingsbeslissing(en) adequaat in te schatten.

Bezoekers van deze website dienen zich ervan bewust te zijn dat zij zelf verantwoordelijk zijn voor naleving van alle in hun eigen land geldende wetten en voorschriften.

Door op Akkoord te klikken, bevestigt u dat u een professionele belegger bent. Indien u op Niet akkoord klikt, wordt u doorverwezen naar de omgeving voor particulieren.

Niet akkoord