Wat betekent de Cyber-Governance Code of Practice van de Britse overheid voor uw bedrijf?
Inhoudsopgave:
Er was een tijd dat cyberbeveiliging vooral werd gezien als een technologische functie. Niet langer. Overheden en toezichthouders over de hele wereld eisen steeds vaker dat besturen meer verantwoordelijkheid op zich nemen voor het beheersen van cyberrisico’s. Het is nieuw SEC-regels vorig jaar en de komende jaren geïntroduceerd NIS2-richtlijn, waardoor het senior management persoonlijk aansprakelijk wordt gesteld voor ernstige inbreuken. Om niet achter te blijven, volgt de Britse regering dit voorbeeld met een nieuw voorstel Gedragscode voor cybergovernance.
Hoewel het vrijwillig is, heeft de regering aangegeven de code te willen inbedden in het “bestaande regelgevingslandschap”. Het bestuur zou er goed aan doen hier rekening mee te houden.
Wat staat er in de begeleiding?
De code, die in januari in conceptvorm werd gepubliceerd, bevindt zich te midden van een ontmoedigende achtergrond van inbreuken. Volgens de overheidruim de helft van de middelgrote (59%) en grote (69%) Britse bedrijven te maken kreeg met een ernstige cyberaanval of inbreuk in de twaalf maanden tot april 12. Uit hetzelfde onderzoek blijkt dat, hoewel bijna driekwart (2023%) van de senior managers zeggen cyberbeveiliging als een “hoge prioriteit” te beschouwen; slechts 71% van de bedrijven heeft bestuursleden of beheerders die expliciet verantwoordelijk zijn voor cyber als onderdeel van hun rol.
Daarmee is de praktijkcode opgesplitst in vijf pijlers:
Risicomanagement: Ervoor zorgen dat de meest kritische digitale processen, gegevens en diensten van het bedrijf zijn geïdentificeerd, geprioriteerd en overeengekomen. Dit omvat regelmatige risicobeoordelingen en mitigatiestappen, beslissingen over risiconiveaus en risicobeheer voor leveranciers.
Cyberstrategie: Het monitoren en herzien van de cyberveerkrachtstrategie in overeenstemming met de risicobereidheid, bedrijfsstrategie en wettelijke en regelgevende verplichtingen. Dit houdt onder meer in dat ervoor wordt gezorgd dat de juiste middelen worden toegewezen in overeenstemming met de steeds veranderende bedrijfsrisico's.
People: Het sponsoren van communicatie over het belang van cyberweerbaarheid voor het bedrijf, het leveren van een duidelijk cyberbeveiligingsbeleid dat een positieve veiligheidscultuur ondersteunt, en het aansturen van en deelnemen aan beveiligingstrainingsprogramma's.
Incidentplanning en -respons: Ervoor zorgen dat de organisatie een plan heeft om te reageren op en te herstellen van cyberincidenten die van invloed zijn op bedrijfskritische processen en diensten. Dit omvat het regelmatig testen van het plan, beoordelingen na incidenten en het nemen van verantwoordelijkheid voor wettelijke verplichtingen.
Zekerheid en toezicht: Het opzetten van een bestuursstructuur die aansluit bij de organisatie, inclusief een duidelijke definitie van rollen en verantwoordelijkheden, en eigenaarschap van cyberweerbaarheid op directieniveau. Toezicht op cyberweerbaarheid door toezichthouders, het tot stand brengen van een tweerichtingsdialoog met belangrijke leidinggevenden en formele kwartaalrapportage, en het waarborgen van de strategie voor cyberweerbaarheid die is geïntegreerd in de bestaande zekerheidsmechanismen.
Hoe moeten organisaties reageren?
Darren Anstee, CTO bij Netscout, stelt dat besturen traditioneel moeite hebben met het plannen van incidenten.
“De richtlijn is dat het testen van het incidentafhandelingsplan van een organisatie, en de bijbehorende training, minimaal jaarlijks moet plaatsvinden. De meeste organisaties doen dit nu en dat is veel beter dan tien jaar geleden, maar dit jaarlijks doen is niet frequent genoeg”, vertelt hij aan ISMS.online.
“We willen dat testen de bekendheid en optimalisatie van processen stimuleert. Het moet niet puur gaan om het uitzoeken waar het plan moet worden bijgewerkt, omdat het niet langer aansluit bij de processen en technologie van een organisatie. Dat is het risico bij jaarlijks testen.
Anstee voegt eraan toe dat besturen ook hun zekerheid en toezicht zouden kunnen verbeteren.
“De uitdaging hier is niet nieuw, in die zin dat het moeilijk kan zijn om wat er gebeurt op het gebied van dreigingsverdediging en cyberrisico’s te vertalen naar iets zinvols op bedrijfsrisiconiveau”, betoogt hij.
“Dit betekent meestal dat meerdere datasets met elkaar moeten worden gecorreleerd om begrijpelijke statistieken en visualisaties te genereren. Dit is mogelijk en erg belangrijk als we willen dat cyberrisico’s goed worden beheerst, maar veel organisaties beschikken niet over de middelen om dit goed te doen.”
Kevin Curran, senior lid van het IEEE en hoogleraar cybersecurity aan de universiteit van Ulster, stelt dat besturen er vaak niet in slagen cyberrisico's adequaat te beheersen, omdat ze betrokkenheid, expertise en focus missen.
“Sommige gebieden waarop organisaties falen, zijn onder meer het niet uitvoeren van grondige risicobeoordelingen of het vaststellen van duidelijke cyberbeveiligingsstrategieën, waardoor ze kwetsbaar worden voor bedreigingen. Andere gebieden zijn ontoereikende investeringen, verouderd beleid, slechte communicatie tussen afdelingen en een op compliance gerichte aanpak kan ook het cybersecuritybeheer ondermijnen”, vertelt hij aan ISMS.online.
“Uiteindelijk zou de code organisaties moeten helpen bij het opzetten van robuuste bestuurskaders, het betrekken van leiderschap bij cyberveiligheidsbeslissingen, het uitvoeren van regelmatige risicobeoordelingen, het toewijzen van voldoende middelen, het bevorderen van een cyberveiligheidsbewuste cultuur en het voortdurend verbeteren van hun cyberveiligheidsbestuurspraktijken om zich aan te passen aan de evoluerende bedreigingen.”
Volgende stappen met ISO 27001
Naleving van de best practice-normen en raamwerken zoals ISO 27001, NIST Cybersecurity Framework, CIS Controls en COBIT zou besturen een heel eind kunnen helpen om hun doelstellingen onder de vijf pijlers te bereiken, betoogt Curran.
“ISO 27001 biedt een systematische aanpak voor het identificeren, beoordelen en beperken van beveiligingsrisico's, helpt bij het prioriteren van digitale activa en het integreren van risicobeheer in het bestuur. Het zal ook de cyberstrategie ten goede komen, omdat het een Information Security Management System (ISMS) op één lijn brengt met de bedrijfsstrategie, waardoor een efficiënte toewijzing van middelen voor het monitoren en beoordelen van cyberbeveiligingsstrategieën wordt gegarandeerd”, legt hij uit.
“ISO 27001 bevordert de beveiligingscultuur door middel van beleid en training, waardoor de cybergeletterdheid van medewerkers wordt vergroot in overeenstemming met de beveiligingsstrategie van de organisatie. Het moedigt ook de planning van incidentrespons aan … en het helpt bij het definiëren van rollen, monitoring, rapportage en communicatie met senior executives – waardoor de integratie van cyberbeveiliging in bestuursstructuren wordt vergemakkelijkt.”
Hoewel vrijwillig, zal de code een belangrijke rol spelen in het veranderende regelgevingslandschap, legt Sarah Pearce, partner bij Hunton Andrews Kurth, uit.
“De Companies Act 2006 en de Britse Corporate Governance Code bevatten bepaalde vereisten en ik begrijp dat deze code en de bijbehorende richtlijnen zullen worden bijgewerkt om consistentie te garanderen met de door de overheid voorgestelde [cyber-governance] praktijkcode”, vertelt ze aan ISMS.online.
“De regering heeft gezegd te erkennen dat de code op zichzelf 'niet voldoende is om de vereiste verbeteringen in het cyberrisicobeheer op bestuursniveau te bewerkstelligen'. Het onderzoekt het gebruik ervan bij het ondersteunen van toezichthouders om te begrijpen hoe het kan worden gebruikt om te helpen bij de naleving van de regelgeving, inclusief de Britse AVG en NIS-regelgeving.
