De manier waarop informatie wordt gedeeld in de boardroom zet de security en compliancy van organisaties flink onder druk.
In de hoogste regionen van de organisatie worden stelselmatig de meest bedrijfskritische stukken gedeeld per (onbeveiligde) e-mail, gratis cloudoplossingen of worden zelfs uitgeprint in grote vergaderboeken en vervolgens per koerier gedistribueerd. Het gaat hier om bestuursrapporten met informatie over fusies en overnames, onderhandelingsgegevens, beloningsregelingen, strategische plannen, financiële en klantgegevens. Deze aanpak leidt tot onveilige situaties, waarbij documenten en persoonlijke data niet op het hoogste niveau beveiligd zijn. De laatste tijd horen we dan ook steeds vaker over organisaties die slachtoffer zijn geworden van dataroven en cyberaanvallen en over uitgelekte klantgegevens en andere confidentiële informatie.
Daarnaast blijven er met enige regelmaat gevoelige documenten onder de kopieermachine liggen of verliest iemand een USB-stick op de achterbank van een taxi. Juist deze onzorgvuldigheid met papier of gratis cloudoplossingen moet worden voorkomen. Het is tijd dat de boardroom en het C-levelmanagement stappen zetten om de transitie te maken naar een digitale, veilige informatie-uitwisseling.
Uitgesloten van processen
Het beschermen van een organisatie tegen cyberaanvallen en het waarborgen van compliancy zijn cruciale verantwoordelijkheden van het bestuur van een organisatie. Veel organisaties hebben dan ook regels en richtlijnen ingevoerd voor het personeel als het gaat om het delen en opslaan van documenten en informatie. Zij mogen bijvoorbeeld geen gebruik maken van gratis clouddiensten zoals Dropbox of WeTransfer en mogen lang niet altijd hun eigen laptops of tablets gebruiken voor zakelijke doeleinden. Dit is allemaal in werking gesteld om de veiligheid van bedrijfskritische informatie te waarborgen en compliant te zijn aan wet- en regelgeving. En toch zien bestuursleden vaak een kritische schakel in deze keten over het hoofd: hun eigen rol met betrekking tot het beveiligen van confidentiële bedrijfsinformatie. Het struikelpunt is hier vaak dat het bestuur ‘boven’ de organisatie staat, waardoor het is uitgesloten van securityprocessen die van toepassing zijn op elk ander deel van het bedrijf. Niemand wil immers het bestuur op de vingers tikken of hen een oplossing opdringen. Het is zaak dat deze problematiek over informatiedeling wordt gesignaleerd. En dat informatie op executiveniveau aan dezelfde strenge veiligheidscontroles wordt onderworpen als alle andere gegevens.
Angst voor cloud
Dat papier risico’s met zich meebrengt staat buiten kijf. Het is onmogelijk om controle te houden over strikt vertrouwelijke informatie als dit eenmaal is geprint. Maar ondanks dat er veel behoefte is aan een oplossing om op een slimme manier overal ter wereld digitaal samen te werken, zijn veel bestuurders nog huiverig om hun papieren vergaderboeken in te ruilen voor digitale evenknieën. Zo wordt er vaak getwijfeld aan de veiligheid van de cloud en aan de leveranciers die oplossingen ontwikkelen om het vergader-, samenwerkings- en beslissingsproces te digitaliseren en vereenvoudigen. U weet immers nooit waar het datacenter precies staat, hoe er wordt omgegaan met fysieke en digitale securityprocessen of er een solide back-upplan is en op welke manier data worden opgeslagen. De optie cloud wordt dus al snel van tafel geveegd, mede door veel mispercepties. Dat terwijl digitaal in de meeste gevallen een veiligere en efficiëntere optie is dan papier.
Informatiebeveiliging als uitgangspunt
‘Onze belangrijkste documenten digitaliseren en in handen geven van een externe partij?’ Niet veel directieleden lopen er direct warm voor. Wat als de techniek niet goed werkt op het moment dat ik het vliegtuig instap? Hoe staat het met de veiligheid? Ik wil gewoon aantekeningen kunnen maken. Deze kreten kenmerken meestal de eerste reacties in de kennismaking met digitale oplossingen. Iedere evaluatie van een digitale oplossing moet dan ook beginnen bij de veiligheid. Wordt er voldoende geïnvesteerd in cybersecurity research en ontwikkeling, is er voldoende transparantie over de (fysieke en digitale) securityprocessen, maakt een leverancier gebruik van software of platforms van derden, welke encrypties worden er gebruikt, in welke mate van data redundantie wordt voorzien en worden de systemen gemonitord om hacks te detecteren? Informatiebeveiliging is een cruciaal aspect in de transitie naar een digitale boardroom. Daarnaast is het ook van belang dat er een back-up wordt gemaakt op een andere locatie. Een andere belangrijke eis is dat ervoor moet worden gezorgd dat de locaties van beide datacenters geografisch verspreid zijn, om te waarborgen dat omgevingsgebeurtenissen of storingen geen invloed hebben op de secundaire locatie. Hierdoor kan de hoogste uptime worden gegarandeerd.
Maar naast het veiligheidsaspect spelen natuurlijk ook ondersteuning, training en customer service een belangrijke rol in deze transitie en de adoptie. Al met al zal men moeten kijken naar hoe een oplossing wordt gebruikt. Is deze niet gebruiksvriendelijk genoeg of verleidt het directieleden om tóch hun documenten te printen? Dan is de missie niet geslaagd. Het beveiligen van informatie is een van de meest urgente problemen waar executives anno 2015 mee te maken hebben. Ondanks dat veel organisaties al stappen hebben gezet, is het nu tijd voor de laatste slag: het nemen van de eigen verantwoordelijkheid met betrekking tot informatiebeveiliging van de board. Dit moet nog in 2015 topprioriteit worden.
Jesse Thiel is Country Manager Benelux bij Diligent.
