De digitale revolutie is in volle gang. Het aantal ondernemingen dat digitale gegevens van klanten inzet om effectiever te ondernemen, groeit in gestaag tempo. Ondernemingen gebruiken data om aanbiedingen nauwkeurig af te stemmen op de wensen van individuele klanten. Ze gebruiken ook data voor het monitoren van medewerkers en voor het verbeteren van de samenwerking met leveranciers. En zo zijn er tal van andere toepassingen waardoor digitale gegevens ondernemingen helpen om succesvoller te zijn.
Maar er is een keerzijde. Digitale gegevens vormen een aantrekkelijk doelwit voor cyber criminelen. Daardoor ontstaan voor ondernemingen nieuwe risico’s en combinaties van risico’s die tot voor kort niet bestonden. Cyber security oftewel het beschermen van digitale systemen is al langer een punt van aandacht bij ondernemingen. Maar daar komt nu de bescherming bij van de digitale gegevensbestanden. Onvoldoende aandacht voor dit soort risico’s kan leiden tot diefstal van klantgegevens en tot schendingen van de privacy van klanten, medewerkers en leveranciers. Via de media bereiken ons daarover regelmatig berichten.
Ondernemingen ervaren dat zulke incidenten geld kosten. Dat komt onder andere door de invoering van de Algemene verordening gegevensbescherming (AVG) en andere internationale regels rond de privacy en de bescherming van klantgegevens. Het is daarom volstrekt begrijpelijk dat de bescherming van digitale klantdata steeds meer aandacht krijgt in de top van ondernemingen.
Grant Thornton heeft onderzoek gedaan onder 4500 topbestuurders van internationale ondernemingen. Hieruit bleek dat van elke drie bestuurders er twee instemmen met de stelling dat de nieuwe regelgeving rond de bescherming van klantgegevens heeft geleid tot meer aandacht voor privacy dan er de afgelopen jaren was voor cyber security.
De toenemende aandacht voor klantgegevens en voor privacy is goed maar mag niet ten koste gaan van de aandacht voor andere digitale risico’s vinden we bij Grant Thornton. Het aantal cyberaanvallen dat schade veroorzaakt van een miljoen dollar of meer is de afgelopen drie jaar met 63% gestegen.i
Vishal Chawla is Global head cyber security bij Grant Thornton. Hij benadrukt dat gegevensbescherming en cyber security niet eerder zo nauw met elkaar verbonden waren. “In een wereld waarin het gebruik van digitale gegevens zo belangrijk is, kun je gegevensbescherming en cyber security niet meer los van elkaar zien”, zegt hij. "Je moet beide zien als onderdeel van een groter aandachtsgebied, dat van digitaal risico."
Een integraal antwoord op inbreuken
Na een gegevensinbreuk ontstaat bij de getroffen onderneming meestal direct het inzicht dat gegevensbescherming en cyber security met direct met elkaar in verband staan. Men wil weten hoe het incident heeft kunnen gebeuren. Welke beveiliging heeft gefaald? Ook moet worden vastgesteld welke gegevens gecompromitteerd zijn en of het om gevoelige gegevens gaat. Als dit zo is dan zal de onderneming dit openbaar moeten maken.
De meeste ondernemingen zijn hier niet op voorbereid. Maar 28% van de ondervraagde ondernemingen in het onderzoek van Grant Thornton liet weten ‘zeer tevreden’ te zijn met de eigen bescherming tegen een inbreuk. Slechts 26% antwoordde ‘zeer tevreden’ te zijn met het eigen vermogen om overal binnen de onderneming consistent te reageren op een ernstige inbreuk, ongeacht waar of op welk moment de inbreuk plaatsvindt.
Op het moment dat ondernemingen privacy en cyber security in één functie samenbrengen, zullen zij door een beter totaalbeeld van de bedreiging en de concentratie van middelen effectiever kunnen reageren op gegevensinbreuken.
“Privacy en cyberbeveiliging zijn complex omdat ze in de echte wereld botsen”, zegt Mike Harris, partner Cyber security services bij Grant Thornton Ierland. “Een gegevensinbreuk kan beginnen als iets technisch in een ‘cloud’ waarvan het beheer aan een provider is uitbesteed. Maar bij het reageren op het incident moet men weten of het om persoonlijke gegevens gaat en of de toezichthouder moet worden geïnformeerd.”
“En plotseling blijkt dan dat de twee met elkaar verbonden zijn. In plaats van dat je twee aparte cyber- en privacy functies hebt die reageren op een inbreuk, is het veel logischer om één geïntegreerde functie te hebben met gespecialiseerde vaardigheden in het beheren van het proces zodat er niets over het hoofd wordt gezien.”
Beheer van digitaal risico in de supply chain en bij derden
De samenhang tussen cyber security en privacy heeft ook zijn invloed op het beheer van risico’s van derden. De AVG eist onder meer dat ondernemingen garanties krijgen van leveranciers die in hun opdracht data verwerken.
“Het ligt voor de hand om cyber security rond het risicobeheer door derden te combineren met privacy controles”, zegt Harris. “Het enige wat je moet doen, is gelijktijdig naar beide aspecten kijken. Dat lijkt simpel en eigenlijk is het dat ook. En toch gebeurt het nog te weinig. Cyber securityteams en privacy teams werken nog vaak langs elkaar heen.”
Met een ‘one-stop-beheer’ van de risico’s rond de inzet van derden voorkom je dat je dezelfde inspanningen twee keer moet leveren. Dat maakt het allemaal veel efficiënter. Een ander voordeel is dat een gezamenlijk begrip ontstaat over digitaal risico.
Pluspunten van een integrale aanpak van digitaal risico
Een integrale aanpak van digitaal risico levert ondernemingen diverse voordelen op.
Ten eerste maakt het bij ondernemingen een professionele en beheersbare digitale transformatie mogelijk. Dit komt onder meer door de aandacht voor een integrale naleving van regelgeving en een integrale gegevensclassificatie.
Ten tweede zorgt een integrale aanpak van digitaal risico voor een vergroting van het risicobewustzijn bij ondernemingen. Dit komt doordat niet alleen naar de interne digitale risico’s wordt gekeken maar ook naar die in de supply chain en bij andere externe partijen met wie wordt samengewerkt.
Ten derde is een geïntegreerde digitale risicofunctie beter in staat om nieuwe digitale technologieën te evalueren. We zien dat ondernemingen nieuwe technologie inzetten om effectiever te zijn. Een goed voorbeeld daarvan is blockchain. Dat betekent dat zij hun bescherming van data en cyber security parallel daaraan moeten verbeteren.
“Een enkele digitale risicofunctie helpt ondernemingen bij hun digitale transformatie. Bijvoorbeeld doordat bij de beoordeling van leveranciers ook wordt gekeken naar hun digitale risicoprofiel”, zegt James Arthur, partner en Head of Cyber consulting bij Grant Thornton UK. “Met een enkele digitale risicofunctie die actief cyber security en privacy-risico’s onderzoekt, is dit een stuk makkelijker.”
“Het is noodzakelijk dat risicoteams betrokken worden bij het risicobeheer, liefst in een zo vroeg mogelijk stadium. Elke database kan het doelwit worden van criminelen”, zegt Michel Besner, General Manager van Catallaxy, een blockchain-dochterbedrijf van Raymond Chabot Grant Thornton. “Risicoteams kunnen zorgen voor de juiste governance-structuren voor het implementeren, beheren en ondersteunen van blockchain. Doe je dit vanaf het begin dan voorkom je problemen en het risico van inbraken in je database.”
Benoem een Chief Digital Risk Officer en een bestuurscommissie
De integrale aanpak van digitaal risico levert de beste resultaten op weten we bij Grant Thornton. Maar wie moet binnen een onderneming toezicht houden en wie moet het beheer uitvoeren? Bij veel ondernemingen bestaat onduidelijkheid over deze vragen. Er is verwarring over de eindverantwoordelijkheid. Dit schaadt het beheer van digitaal risico.
Grant Thornton heeft dit bij ondernemingen onderzocht. Ondernemingen geven aan dat er een gebrek aan duidelijkheid is over welke personen en teams verantwoordelijk zijn voor welke risico’s. Ze melden dat dit hun ‘op-een-na-grootste’ kwetsbaarheid is.
Wat kunnen ondernemers hieraan doen?
Allereerst moet men bepalen wie het dagelijkse beheer van digitaal risico op zich neemt. Wij zien dat de meeste ondernemingen dit toewijzen aan de Chief Risk Officer of de Chief Technology Officer. Beide functies zijn hiervoor eigenlijk niet toegerust. In de visie van Grant Thornton berust effectief beheer van digitaal risico op meer dan alleen technologie. U leest hierover meer in het artikel ‘Digitaal risico. Technologie is geen wondermiddel’. Een Chief Risk Officer rapporteert op een meer algemeen risiconiveau: strategisch, financieel en operationeel. Geen van beide functies dekt dus de lading.
Een oplossing kan zijn om een nieuwe functie in het leven te roepen: de Chief Digital Risk Officer. “Steeds meer ondernemingen benoemen een Chief Digital Risk Officer die eindverantwoordelijk is voor het beheersbaar houden van digitaal risico”, zegt Arthur. “En dit is ook waar deze verantwoordelijkheid thuishoort. Maar bij de meeste ondernemingen is men nog niet zo ver.”
Zodra het dagelijkse digitaal risicobeheer geregeld is, is het belangrijk te bepalen wie toezicht houdt. De grote impact van digitaal risico en de grote schade die het gevolg is als er iets mis gaat, betekenen dat het bestuur van een onderneming actief betrokken moet zijn bij digitaal risico. Op eenzelfde manier als dat met financieel risico het geval is.
Alhoewel een bestuur toezicht moet houden, ontbreekt wellicht de expertise om digitale dreigingen echt te doorgronden. Het bestuur kan een eigen digitaal-risico-commissie met experts in het leven roepen die toezicht houdt op digitale risico.
“Het toezicht op digitaal risico hoort thuis op bestuursniveau”, zegt Christos Makedonas, Technology risk leader bij Grant Thornton Cyprus. “Daarnaast moet er een bestuurscommissie met experts zijn waar digitaal risico wordt besproken.”
“Het beheersbaar houden van digitaal risico is complex en heeft veel kanten. Daarom moet een beroep worden gedaan op de deskundigheid van specialisten. Dat zien we op dit moment vooral bij grote ondernemingen die onder toezicht staan en gereguleerd worden, voornamelijk in de financiële sector.”
In drie stappen naar integraal beheer van digitaal risico
- Breng de bescherming van data en cyber security onder in één functie voor het beheer van digitaal risico. Het digitaal risico-team dient één governance-model te hebben en te werken met uniforme processen, doelen en werkwijzen, die de commerciële doelen van de onderneming ondersteunen en daarmee verbonden zijn.
- Stel vast wie er verantwoordelijk is voor het beheren van digitaal risico en wie toezicht houdt op digitaal risico. Breng hun activiteiten en dagelijkse workflow in kaart. En stel vast of er overlap is. Identificeer synergiën en schrap dubbele processen.
- Zorg dat digitaal risico-processen end-to-end beheerd worden. Cyber security en bescherming van data moeten altijd in combinatie beoordeeld worden. Bij de classificatie van data moet men met beide rekening houden.
[i] Linklaters, Global cyber-incidents soar by 63% in the last three years - January 2019.
[ii] Eur-Lex - General Data Protection Act.
[iii] Information Commissioner’s Office - Data protection by design and default.
Hoe versterk ik mijn digitale risicobeheersing?
Het aantal ondernemingen dat digitale gegevens van klanten inzet om effectiever te ondernemen, groeit in gestaag tempo. De keerzijde is dat digitale gegevens een aantrekkelijk doelwit vormen voor cyber criminelen. Daardoor ontstaan voor ondernemingen nieuwe risico’s en combinaties van risico’s die tot voor kort niet bestonden.
Uit ons International Business Report (IBR) blijkt dat ondernemers zich richten op het beperken van privacyrisico's. Dat is geen verrassing, gezien de aandacht die er is voor de beperking van privacyrisico's van (persoons)gegevens. Echter, de kans op cyberdreigingen blijft toenemen.
Maar waar begint u? Download ons rapport 'Defining digital risk' met onze bevindingen en aanbevelingen voor het versterken van uw digitale risicobeheersing.
Meld u aan voor onze nieuwsbrieven
Wij brengen u graag op de hoogte van nieuwe (internationale) inzichten op het gebied van financiën, bedrijfsvoering, strategie, governance, risk, compliance en meer.
