Digitalisering en cybersecurity
Samenvatting
Wenselijke situatie
De meerderheid van de benchmarks is het duidelijk eens dat de recoverystrategie van de organisatie voldoende op de agenda van de rvc moet staan, dat in de organisatie periodiek penetratietesten plaatsvinden, dat de back-upstrategie voldoende op de agenda van de rvc staat en dat de rvc zicht heeft op waar in de organisatie(kritische) processen worden gedigitaliseerd. Aan de andere kant zien we dat geen van de benchmarks het erg wenselijk vindt dat het directe medewerkerscontact vooral digitaal verloopt of dat de rvc de door de organisatie gebruikte algoritmes gaat bespreken.
Veranderwensen
Voor alle benchmarks samen is het veranderpercentage met 70 procent zeer hoog. Bij acht van de twaalf stellingen hebben minstens elf benchmarks een verbeterwens of een bespreekbaar punt. Koplopers zijn de stellingen over het volgen van een cyber-awarenesstraining door de rvc en het uitzetten van telefoons tijdens rvc-vergaderingen. Bij beide stellingen zijn door vijftien benchmarks veranderwensen geformuleerd. Maar ook dat elke commissaris voor communicatie met de organisatie alleen door de organisatie geleverde, beveiligde apparatuur gebruikt, de respondent kan uitleggen hoe de in de organisatie gedane penetratietesten plaatsvinden en dat de rvc door de organisatie gebruikte algoritmes bespreekt, zijn bij de meeste benchmarks veranderwensen.
De enige stelling waar we weinig veranderwensen zien is dat het directe medewerkerscontact vooral digitaal verloopt. Daar geven alleen Fam en Corp aan dat het wel een tandje minder mag.
Huidige situatie
In de huidige situatie is bij geen van de twaalf stellingen meer dan 50 procent van de benchmarks het minimaal duidelijk eens. Het dichtst in de buurt komt dat in de organisatie periodiek penetratietesten plaatsvinden (44 procent van de benchmarks). Dat is inclusief het basisprofiel. De tweede stelling op deze korte lijst is de dat de rvc zicht heeft op waar de organisatie(kritische) bedrijfsprocessen digitaliseert. Alleen de voorzitter, de commissaris met minder dan 4 jaar ervaring en de secretaris zijn het daar duidelijk mee eens (19 procent van de benchmarks. Zorgelijk daarmee is dat niet alle respondenten volmondig kunnen aangeven dat de rvc voldoende zicht heeft op waar in de organisatie (kritische) bedrijfsprocessen worden gedigitaliseerd en dat de back-up- en recoverystrategie nog onvoldoende op de agenda van de rvc staan.
Onderzoeksvraag
Aan de respondenten zijn twaalf stellingen voorgelegd met betrekking tot digitalisering en cybersecurity. Dit is de eerste keer dat we deze stellingen voorleggen en we hebben daarom geen vergelijkingsmateriaal uit eerdere jaren.
We hebben de 5-puntsschaal gebruikt met 1 = volstrekt oneens, 2 = oneens, 3 = deels oneens/deels eens, 4 = eens en 5 = volstrekt mee eens.
7.1 Wenselijke situatie
.
Basisprofiel: penetratietesten en kijken op het Darknet bovenaan
Gewenste situatie basisprofiel
Het basisprofiel is het ‘duidelijk mee eens’ (4.0 ≤ score < 4.5) dat in de organisatie periodiek penetratietesten plaatsvinden, de organisatie wel eens op het Darknet kijkt of daar gegevens van de organisatie staan, de back-up en recovery-strategie in voldoende mate op de agenda van de rvc staan en dat de rvc zicht heeft op waar de organisatie (kritische) processen digitaliseert.
Dat de rvc een cyber-awarenesstraining volgt zit dicht tegen die klasse aan maar uiteindelijk net wat lager, in de klasse min of meer eens (3.5 ≤ score < 4.0). Daarin vinden we verder ook nog dat mobiele telefoons uit staan in de rvc-vergadering.
In de klasse ‘neigt naar instemming’(3.2 ≤ score < 3.5) zit de stelling over de mate van het digitaal contact met klanten. In de klasse oneens/eens (2.8 ≤ score < 3.2) vinden we de laatste drie stellingen: dat het digitaal contact met medewerkers zal toenemen, dat elke commissaris voor communicatie met de organisatie alleen door de organisatie geleverde, beveiligde apparatuur gebruikt en dat de individuele respondent uit kan leggen hoe de door zijn organisatie gebruikte penetratietesten werken.
Hoe breed delen de benchmarks de wenselijkheid?
Recovery-strategie moet voldoende op de rvc-agenda staan
1 procent in ‘volstrekt mee eens’ (score ≥ 4.5)
Slechts twee benchmarks vinden een stelling dermate wenselijk dat die hier verschijnt.
27 procent in klasse ‘duidelijk mee eens’ (4 ≤ score < 4.5)
In deze klasse is het drukker. Koploper is de stelling ‘de recovery-strategie van mijn organisatie staat in voldoende mate op de agenda van de rvc’ met elf benchmarks die in deze range qua wenselijkheid scoren. Verder vallen in deze klasse de stellingen ‘de back-up strategie van mijn organisatie staat in voldoende mate op de agenda van de rvc’, ‘in mijn organisatie vinden periodiek penetratietesten plaats’ en ‘de rvc heeft zicht op waar in de organisatie (kritische) processen worden gedigitaliseerd’ (elk 10 benchmarks), mijn organisatie kijkt wel eens op het Darknet of daar gegevens van de organisatie staan (4 benchmarks) en ‘mobiele telefoons staan uit in de rvc-vergadering’ (3 benchmarks).
Cyberawarenesstraining voor rvc kan op redelijke mate van instemming rekenen
28 procent in klasse ‘min of meer mee eens’ (3.5 ≤ score < 4.0)
In deze klasse vallen dat de rvc een cyber-awarenesstraining heeft gevolgd (11 benchmarks), dat de organisatie wel eens op het Darknet kijkt of daar gegevens van de organisatie staan (7 benchmarks), dat de back-up strategie van de organisatie in voldoende mate op de agenda van de rvc staat, de rvc zicht heeft op waar in de organisatie (kritische) processen worden gedigitaliseerd, mobiele telefoons uitstaan in de rvc-vergadering (elk 6 benchmarks), dat in de organisatie periodiek penetratietesten plaatsvinden, de recovery-strategie van de organisatie in voldoende mate op de agenda van de rvc staat en het directe klantcontact van de organisatie vooral digitaal verloopt (elk 4 benchmarks).
13 procent in de klassen ‘neigt naar instemming’ (3.2 ≤ score < 3.5) vallen de stellingen ‘het directe medewerkerscontact van de organisatie verloopt vooral digitaal’ (7 benchmarks, ‘het directe klantcontact van de organisatie verloopt vooral digitaal’ (4 benchmarks) en ‘ik kan uitleggen hoe deze testen plaatsvinden’ (3 benchmarks).
16 procent in de klasse oneens/eens (2.8 ≤ score < 3.2) met daarin: in de rvc worden door de organisatie gebruikte algoritmes besproken (7 benchmarks), ik kan uitleggen hoe deze testen plaatsvinden (6 benchmarks), het directe klantcontact van de organisatie verloopt vooral digitaal, mobiele telefoons staan uit in de rvc-vergadering (elk 5 benchmarks), het directe medewerkerscontact van de organisatie verloopt vooral digitaal en elke commissaris gebruikt voor communicatie met de organisatie alleen door de organisatie geleverde, beveiligde apparatuur (beide 3 benchmarks).
Gebruik van door de organisatie geleverde en beveiligde apparatuur niet wenselijk
15 procent in de klassen ‘oneens’ of lager (score < 2.8) met daarin de stellingen ‘elke commissaris gebruikt voor communicatie met de organisatie alleen door de organisatie geleverde, beveiligde apparatuur’ (9 benchmarks), ‘het directe medewerkerscontact van de organisatie verloopt vooral digitaal’ en ‘in de rvc worden door de organisatie gebruikte algoritmes besproken’ (beide 5 benchmarks) en het zelf kunnen uitleggen hoe de penetratietesten plaatsvinden (4 benchmarks).
Andere benchmarks vergeleken met het basisprofiel
.
GB redelijk eens met basisprofiel, MKB en Fam niet
Bedrijfsbenchmarks
In de profitsector zijn veel grote verschillen met het basisprofiel te zien. GB wijkt slechts twee keer af maar Fam (8) en MKB (7) hebben vaker een andere mate van instemming dan het basisprofiel. Alle drie zijn het min of meer eens met de stelling (en dus wenselijker dan het basisprofiel) dat ze kunnen uitleggen hoe de penetratietesten in de organisatie plaatsvinden. Alle drie zijn daarentegen wat minder enthousiast over de organisatie die het Darknet benadert om te kijken of daar gegevens van de organisatie staan. Verder schommelt het digitale klant- en medewerkerscontact bij het basisprofiel rond de ‘neigt naar instemming’ en ‘min of meer mee eens’ grens. Bij MKB en Fam zit die instemming daar duidelijk onder en meer richting afwijzend/onwenselijk.
Ook in non-profitsector vaak minder instemming. Vooral Zorg vindt veel niet wenselijk
In de non-profitsector zien we ook veel verschillen met het basisprofiel. Die verschillen allemaal een lagere instemming dan het basisprofiel. Zorg (10) en Corp (9) leiden de dans. Cult (6) en ONP (4) zitten wat meer op de lijn van het basisprofiel. Ook hier geldt dat drie non-profitbenchmarks minder enthousiast zijn over de organisatie die het Darknet benadert om te kijken of daar gegevens van de organisatie staan (Corp, Zorg en OW). Zorg wijst dit zelfs af en heeft van alle benchmarks sowieso het laagste gemiddelde qua instemming als we kijken naar alle stellingen.
Verder zit bij alle vier de benchmarks ook de instemming met het periodiek gebruik maken van penetratietesten (zeker) een klasse lager dan bij het basisprofiel. Voor Corp en Zorg is het minder wenselijk dan het basisprofiel om de recovery-strategie in voldoende mate op de rvc-agenda te hebben. Ook wijzen deze twee af dat rvc in de organisatie gebruikte algoritmes bespreekt. Het basisprofiel zit hier nog op de grens van oneens/eens.
.
Bij persoonsgebonden commissarissen benchmarks veel instemming met basisprofiel
Persoonsgebonden benchmarks
Bij de commissarissen is het beeld wat rustiger in vergelijking met de bedrijfsbenchmarks. Merv wijkt het vaakst af met zes scores, VZ, AC en VR tweemaal en Jong slechts eenmaal. Alle verschillen op één na zijn materieel.
VZ en AC zijn net iets positiever over de inzet van door de organisatie geleverde, beveiligde apparatuur. Jong, AC en Merv hebben minder instemming over het uitzetten van mobiele telefoons tijdens rvc-vergaderingen en VR is het min of meer mee eens om door de organisatie gebruikte algoritmes in de rvc te bespreken. Dit laatste in tegenstelling tot het basisprofiel die daar wat ambivalenter in staat. Merv heeft bij drie stellingen meer instemming en bij drie stellingen juist minder dan het basisprofiel. Meer instemming gaat op voor het kunnen uitleggen hoe de penetratietesten plaatsvinden, het als rvc volgen van een cyber-awarenesstraining en het meer digitaal verlopen van het directe medewerkerscontact. Minder instemming is er juist bij de stelling dat de organisatie het Darknet opgaat of dat elke commissaris alleen door de organisatie geleverde, beveiligde, apparatuur voor de communicatie met de organisatie gebruikt.
Tegengestelde meningen DIR en Secr bij uitzetten telefoons en bij gebruik dedicated devices
Ook bij de niet-commissarissen is het beeld wat rustiger dan bij de bedrijfsbenchmarks. Zowel DIR als Secr wijken beiden vier keer af van het basisprofiel. Opmerkelijk genoeg lopen de onderlinge meningen sterk uiteen bij twee stellingen. Als het gaat over het uitzetten van de mobiele telefoons in rvc-vergaderingen is Secr daar een nog groter voorstander van dan het basisprofiel. DIR daarentegen weet niet zeker of dat een goed idee is en heeft een lagere instemming dan het basisprofiel. Een gelijksoortige verhouding zien we bij de stelling over het gebruik van door de organisatie geleverde, beveiligde apparatuur. Secr wijkt positief en DIR negatief af van het basisprofiel. DIR is het verder min of meer mee eens dat de organisatie wel eens op het Darknet kijkt of daar gegevens van de organisatie staan terwijl het basisprofiel het daar duidelijk mee eens is.
7.2 Veranderwensen en huidige situatie
.
Acht veranderwensen, twee urgente verbeterwensen
Basisprofiel
Bij het basisprofiel geldt dat bij vijf stellingen sprake is van verbeterwensen. Twee daarvan zijn urgent: het volgen van een cyber-awarenesstraining door de rvc en het uitzetten van mobiele telefoons in de rvc-vergadering. Verder mogen de back-up- en recovery-strategie vaker op de rvc-agenda en moet de organisatie vaker op het Darknet kijken of daar gegevens van de organisatie staan.
Daarnaast zijn er drie bespreekbare punten: het zelf kunnen uitleggen hoe de penetratietesten in de organisatie plaatsvinden, in de rvc bespreken van de in de organisatie gebruikte algoritmes en gebruik door de commissaris voor communicatie met de organisatie alleen door de organisatie geleverde, beveiligde apparatuur.
Andere benchmarks
Zeer hoog overall veranderpercentage
Voor alle benchmarks gezamenlijk is het veranderpercentage met 70 procent zeer hoog. De scores van die veranderingen liggen in de wenselijke situatie niet allemaal boven de 3.2. Dat betekent dat een deel ook bespreekbare punten zijn (score < 3.2). Voor de bedrijfsbenchmarks in totaal is het percentage 72 procent. De procentuele verschillen tussen de profit- en de non-profitsector ontlopen elkaar niet veel.
Voor de persoonsgebonden benchmarks is het overall veranderpercentage 63 procent, waarbij de commissarissen en niet-commissarissen iets meer uit elkaar liggen.
.
Cyberawarenesstraining rvc en back-up en recoverystrategie bovenaan verbeterlijst
Bedrijfsbenchmarks
In de profitsector hebben het basisprofiel en de drie andere benchmarks zeven tot tien veranderwensen.GB heeft er zeven en Fam tien. Voor alle vier is het volgen van een cyber-awarenesstraining door de rvc een urgente verbeterwens en staan de back-up- en recoverystrategie op dit moment bij alle vier niet voldoende op de agenda van de rvc. Voor MKB en Fam zijn deze laatste twee urgent. Verder is door alle vier ook aangegeven dat mobiele telefoons vaker uit mogen in de rvc-vergadering. Voor het basisprofiel, GB en Fam is dat zelfs urgent.
Daarnaast zijn er bij twee stellingen door alle vier bespreekbare punten aangegeven. Het gaat hierbij om het zelf kunnen uitleggen hoe de in de organisatie toegepaste penetratietesten plaatsvinden en urgenter het bespreken van door de organisatie gebruikte algoritmes een urgent bespreekbaar punt (voor Fam is dit overigens een urgente verbeterwens).
Ook bij de benchmarks in de non-profitsector zien we veel veranderwensen, die veelal gedeeld worden. Zo zijn de back-up- en de recoverystrategie ook bij Corp, Zorg, OW en Cult onvoldoende terug te zien op de agenda van de rvc. Het eerste is voor Corp, Zorg en Cult een urgente zaak, het tweede is voor Corp en Zorg urgent. Verder delen zij allemaal dat er meer periodiek penetratietesten moeten plaatsvinden in de organisatie. Voor OW en Cult is dat urgent en voor Zorg eigenlijk ook, zij het dat de wenselijke score daar maar net boven de 3.2 uitkomt. Ook urgent voor Corp, OW en Cult is het volgen van een cyber-awarenesstraining door de rvc. Voor Zorg is dit een (urgent) bespreekbaar punt. Bij Corp, Zorg en OW kan ook het zicht dat de rvc heeft op de digitalisering van kritische processen in de organisatie beter.
Viertal bespreekbare punten door lagere instemming in wenselijke situatie
Opvallend zijn bij de bedrijfsbenchmarks een viertal bespreekbare punten die zijn ontstaan doordat de betrokken benchmarks een lagere mate van instemming hebben met een aantal stellingen dan in de huidige situatie. Het betreft vooral het laten plaatsvinden van het directe medewerkerscontact via het digitale kanaal bij Fam en Corp, hetzelfde met betrekking tot de klant bij de Zorg en bij Cult het gebruik door commissarissen van door het bedrijf geleverde, beveiligde apparatuur.
.
Ook bij persoonsgebonden benchmarks veel verbeterwensen
Persoonsgebonden benchmarks
Bij de commissarissen hebben VR en Merv de meeste veranderwensen (9) maar Jong en AC hebben er bijna net zoveel (7). VZ zit er met acht precies tussenin. Bij allemaal is de verbeterwens dat de rvc een cyber-awarenesstraining gaat volgen urgent. Alle vijf de benchmarks hebben ook als verbeterwens dat de organisatie vaker op het Darknet mag kijken of daar gegevens van de organisatie staan.
Verder is er een aantal stellingen waarbij de ene benchmark een verbeterwens formuleert en de andere een bespreekbaar punt. Bijvoorbeeld het zelf kunnen uitleggen hoe de penetratietesten plaatsvinden in de organisatie. Voor Merv is dat een verbeterwens, voor de andere vier een bespreekbaar punt. Het in de rvc bespreken van door de organisatie gebruikte algoritmes is voor VR een verbeterwens en voor de andere vier een bespreekbaar punt. Het uitzetten van mobiele telefoons in de rvc-vergadering is alleen voor Jong een bespreekbaar punt, voor de andere vier een verbeterwens (zij het dat instemming bij de andere vier sterk varieert). Ook het gebruik door commissarissen van door de organisatie geleverde, beveiligde, apparatuur laat onderlinge verschillen zien. Voor AC en VZ is het een urgente verbeterwens maar met een lage mate van instemming, voor Jong en VR een urgent bespreekbaar punt. Opmerkelijk is dat VZ, VR en Merv aangeven dat het digitaal contact met de klant wel mag toenemen. Voor AC is dit een bespreekbaar punt. Dit contrasteert met de situatie bij de bedrijfsbenchmarks waar alleen Zorg een veranderwens heeft, die urgent is, maar wel de tegengestelde richting opgaat ‘er mag wel wat minder digitaal klantcontact zijn’.
Ook DIR en Secr voorstander dat rvc cyber-awarenesstraining gaat volgen
Zowel DIR als Secr vinden het verstandig als de rvc een cyber-awarenesstraining gaat volgen. Secr vindt het een urgente verbeterwens dat telefoons uitstaan tijdens rvc-vergaderingen, voor DIR is dat een bespreekbaar punt. Voor DIR is urgent dat de organisatie wel eens op het Darknet gaat kijken of daar gegevens van de organisatie staan. Secr vindt het urgent dat de rvc gebruik gaat maken van de door de organisatie geleverde, beveiligde, apparatuur voor communicatie met de organisatie.
Gedeelde veranderwensen
Zeer veel gedeelde veranderwensen
Bij acht van de twaalf stellingen hebben minstens elf benchmarks een verbeterwens of een bespreekbaar punt. Koplopers zijn de stellingen over het volgen van een cyber-awarenesstraining door de rvc en het uitzetten van telefoons tijdens rvc-vergaderingen. Bij beide stellingen zijn door vijftien benchmarks veranderwensen geformuleerd.
De enige stelling met weinig veranderwensen betreft het digitale verloop van het directe medewerkerscontact. Dat mag van Fam en Corp wel een tandje minder.
Huidige situatie
.
Weinig instemming bij basisprofiel bij twaalf stellingen
Basisprofiel
Bij het basisprofiel valt alleen de stelling ‘in mijn organisatie vinden periodiek penetratietesten plaats’ in de klasse ‘duidelijk mee eens’ qua instemming.
In de klasse 'min of meer mee eens’ (3.5 ≤ score < 4.0) vinden we aan de bovenkant dat de rvc redelijk zicht heeft over waar in de organisatie (kritische) processen worden gedigitaliseerd. Verder dat de back-up- en de recoverystrategie in voldoende mate op de agenda van de rvc staan.
Aan de bovenkant van de volgende instemmingsklasse, neigt naar instemming’ (3.2 ≤ score < 3.5), staat de stelling dat mijn organisatie wel eens op het Darknet kijkt of daar gegevens van de organisatie staan. Aan de onderkant vinden we de stelling ‘het directe medewerkerscontact van de organisatie verloopt vooral digitaal’.
De rvc heeft waarschijnlijk geen cyber-awarenesstraining gevolgd gezien de score van 2.8 (in de klasse ‘deels oneens/deels eens’ (2.8 ≤ score < 3.2)). In diezelfde klasse, maar dan meer richting de bovenkant vinden we de stelling ’het directe klantcontact van de organisatie verloopt vooral digitaal’.
Bij vier stellingen sprake van afwijzing/gebeurt nu niet
De rvc bespreekt door de organisatie gebruikte algoritmes nu niet en kan niet uitleggen hoe penetratietesten plaatsvinden en gebruiken geen door de organisatie geleverde, beveiligde, apparatuur. Mobiel telefoons staan tijdens de rvc-vergadering niet uit.
.
In totaal voor 7 procent van de opties score ≥ 4.0
Andere benchmarks
In de huidige situatie is bij geen van de twaalf stellingen meer dan 50 procent van de benchmarks het minimaal duidelijk eens. Het dichtst in de buurt komt dat in de organisatie periodiek penetratietesten worden gedaan (44 procent). Dat geldt ook voor het basisprofiel.
In totaal heeft 7 procent van de opties een score ≥ 4.0. In de wenselijke situatie is dat 28 procent. Wanneer we de grens bij een score van 3.5 leggen, scoort in de huidige situatie 25 procent boven die grens tegen 56 procent in de wenselijke situatie.
Lagere scores dan 2.8 (oneens tot en met volstrekt oneens) komen primair voor bij het in de rvc bespreken van door de organisatie gebruikte algoritmes, het door commissarissen gebruiken van door de organisatie geleverde en beveiligde apparatuur, het zelf kunnen uitleggen hoe de penetratietesten plaatsvinden en het volgen van een cyber-awarenesstraining door de rvc.
Veel minder instemming bij bedrijfsbenchmarks
Bij de bedrijfsbenchmarks hebben zowel de profitsector als de non-profitsector de nodige afwijkingen van het basisprofiel. Die afwijkingen zijn, 49 in totaal, bijna allemaal negatief, wat betekent dat er minder instemming is met de stelling dan bij het basisprofiel. Daaronder vallen onder andere dat MKB, Fam, Corp en Zorg niet op het Darknet kijken of dat er in de non-profitsector periodiek penetratietesten plaatsvinden. Diezelfde vier benchmarks plus Cult geven ook aan dat de back-up- en recoverystrategie (nog) minder vaak op de agenda van de rvc staan.
Alleen de mening van GB, met slechts één afwijking, komt redelijk overeen met het basisprofiel.
Bij de persoonsgebonden benchmarks is het beeld veel rustiger. Negenmaal wijken de niet-commissarissen af en zevenmaal de commissarissen. Bij de commissarissen benchmarks is alleen de negatieve afwijking van Merv materieel. Deze benchmark geeft aan dat de organisatie minder vaak of niet op het Darknet kijkt dan het basisprofiel.
Bij DIR zijn drie materiële verschillen te zien: meer instemming bij het uitleggen hoe penetratietesten plaatsvinden en minder instemming bij het kijken op het Darknet door de organisatie en directe klantcontact dat vooral digitaal verloopt.
De internal auditor en de digitale wereld van het bedrijf: enige impressies
Ook op het digitale terrein ziet IA ziet nog het nodige werk liggen
In de wenselijke situatie is IA het (beslist) eens met de stellingen dat: er periodieke penetratietesten plaatsvinden, de rvc zicht heeft op waar in de organisatie kritische processen worden gedigitaliseerd, de recovery en back-up strategie voldoende op de agenda staan van de rvc, de organisatie op het darknet kijkt en de rvc een cyber-awareness training heeft gevolgd. IA neigt naar instemming met de stelling dat de mobiele telefoons uitstaan in de rvc vergadering. Met de overige niet genoemde stellingen is IA het min of meer eens met een score van 3.7 tot 3.8.
Wat betreft de verbeterwensen denkt IA in ieder geval aan de back-up en recovery strategie voor op de agenda van de rvc, de verdere digitalisering van klant- en medewerkercontact. Met minder dan acht paarsgewijze waarnemingen per stelling geldt het signaal voor verbetering ook: uitzetten van mobiele telefoons, gebruik van door bedrijf geleverde apparatuur, bespreken van door het bedrijf gebruikte algoritmes en het zelf als IA kunnen uitleggen van hoe de penetratietesten plaatsvinden.
In de huidige situatie is IA het volstrekt eens met het wel eens kijken op het darknet, het plaatsvinden van penetratietesten, het zicht van de rvc op waar kritische processen worden gedigitaliseerd en het hebben gevolgd van een cyberawareness training door de rvc.
In grote lijnen laat IA een vergelijkbaar beeld zien als de andere benchmarks. De uitzonderingen betreffen primair de stellingen waar IA in de huidige situatie blijk geeft van instemming.
Bij dit onderdeel zijn aan de internal auditor alle stellingen voorgelegd. Dit is door acht internal auditors ingevuld. Alleen voor de huidige situaties is dat in een aantal gevallen lager. Vanwege deze aantallen, hebben wij de internal auditor bij dit onderdeel ook niet integraal in het rapport opgenomen als aparte benchmark. Wel geven we ook hier met enige voorbehoud enkele van onze impressies.
7.3 Enige bespiegelingen/vragen/kanttekeningen
Waarom is het bespreken van algoritmes door de rvc taboe?
In het vorige onderzoek concludeerden we dat bijna alle respondenten van mening waren dat digitalisering voldoende onderdeel moet zijn van de strategie. En concludeerden we dat de secretaris en de internal auditor de enige benchmarks waren die vonden dat dit op dat moment het geval was. De wenselijkheid van een belangrijke randvoorwaarde als een ethisch kader lag wat laag, maar dat gold ook voor de score voor de huidige situatie. Uit de interviews bleek dat velen zich niet helemaal konden voorstellen wat dat precies in moest houden.Hetzelfde lijkt ons tot op zekere hoogte te gelden voor het bespreken van algoritmes in de rvc. De wenselijkheid ligt, op een enkele benchmark na (Familiebedrijf en vrouwelijke commissaris), onder de instemmingsscore van 3.2. Tegelijkertijd zien we dat alle benchmarks het een urgent (bespreekbaar) punt vinden! De commissaris lijkt sterk te worstelen met wat een rvc nu met algoritmes aan moet. Is dit te gedetailleerd om te bespreken voor een rvc? Moeten zij dit misschien overlaten aan de organisatie en directie? En dat een rvc alleen opmerkingen maakt als er bijvoorbeeld een ethisch kader ligt? Mag een rvc de discussie dan wel aanzwengelen of wacht de rvc op het initiatief van de directie? En wat als het ethisch kompas van rvb en rvc niet samenloopt? Wie bepaalt dan de grenswaarden en variabelen en hoe men die opneemt in een algoritme? We kunnen ons goed voorstellen dat een rvc niet te ver en te diep in de formulebrij wil worden getrokken. Maar de inbreng van een rvc zou misschien primair moet liggen in het kritisch bekijken en bespreken van de gehanteerde vooronderstellingen bij het ontwikkelen en toepassen van algoritmen.Juist door de veronderstelde buitenstaandersblik kan een rvc een belangrijke bijdrage leveren. Ze kunnen bijvoorbeeld een corrigerende invloed hebben op de bekende bedrijfs- en sectorblindheid. Qua toepassingen van algoritmes kunt ook denken aan beslissingen met betrekking tot of u wel of geen woning krijgt, wel of geen lening, wel of niet de juiste behandeling etcetera. En het onbedoeld in- of uitsluiten van bepaalde leveranciers? Er zijn online genoeg voorbeelden te vinden over wat er mis kan gaan als processen (te veel?) worden geautomatiseerd. Weet een rvc dan ook van niets als iets voor de rechter of Ondernemingskamer verschijnt? En had ze wel iets moeten weten of bijsturen?
Tijdens de interviews bleken weinig respondenten te weten of en waar algoritmes werden gebruikt in de organisatie. Misschien is het daarom een goede stap om eerst eens te beginnen met een rudimentair overzicht van de algoritmes die de organisatie gebruikt. De gemeente Amsterdam heeft onlangs een poging gedaan om een register te maken. En ja, dat gaat met vallen en opstaan.
Waar blijven de penetratietesten in de non-profitsector? In welke mate moeten back-up en recovery bij de rvc langskomen?
Back-up en recovery. Hoe snel kunt u weer op de benen staan als u bent neergeslagen door bijvoorbeeld ransomware? Alle bedrijfsbenchmarks geven op dit moment aan dat beide strategieën op dit moment onvoldoende op de rvc-agenda staan en hebben daar (urgente) verbeterwensen. Is dat een teken dat commissarissen onvoldoende vertrouwen voelen dat de organisatie beide zaken op orde heeft? Of schenkt de organisatie onvoldoende aandacht aan beide zaken? Hoe vaak moeten back-up en recoverystrategieën op de agenda van de rvc langskomen? Is één keer per jaar voldoende? Legt de organisatie het voor aan de hele rvc of is behandeling door de auditcommissie ook genoeg? Maar misschien mist u bij de laatste optie dan weer de inzichten van iemand met een HR/cultuurperspectief? Of is het een puur technische aangelegenheid? Tijdens de interviews kregen we er niet precies de vinger achter.
In het verlengde hiervan lijken, op een enkele woningcorporatie na, penetratietesten bij non-profitorganisaties nog geen gemeengoed. Op basis van de onderzoeksresultaten is dat bij de beursgenoteerde onderneming een stuk beter geregeld. En dat geldt ook voor het familiebedrijf en het grootbedrijf. (Ook) de non-profitorganisatie werkt met veel privacygevoelige informatie en werkt aan een constante digitaliseringsslag. Waarom zijn penetratietesten daar geen standaard onderdeel van? Zeker als ook de non-profitorganisaties vinden dat de back-up en recoverystrategieën te weinig op de agenda van de rvc staan.
Moet een commissaris verplicht worden tot het gebruik van beveiligde apparatuur?
In het vorige onderzoek hadden we twee stellingen opgenomen over het wel of niet laten doen van een cybersecurity-audit bij rvc- of rvbleden thuis. Dat leverde de nodige veranderwensen op, maar een beperkt aantal verbeterwensen.Niet voor niets dat we als titel op het rapport het volgende zetten: cybersecurity-audit bij leden rvc en rvb lijkt nog een brug te ver. Daarom hebben we dit jaar gekozen voor een minder ‘invasieve’ benadering: de rvc heeft een cyberawarenesstraining gevolgd. Ook dat blijkt voor voldoende beroering te zorgen; alle benchmarks staan in het rood. Dat betekent urgente verbeterwensen! Alleen bij de zorgsector is het een bespreekbaar punt. De vraag is dan waarom we hier meer instemming aantreffen dan bij de cybersecurity-audit thuis? Wat verwachten respondenten van een cyberawarnesstraining? Iets dat betrekking heeft op alleen de organisatie of ook iets dat betrekking heeft op de eigen omgang met informatie en apparatuur? Het gebruik door commissarissen van door de organisatie geleverde, beveiligde apparatuur krijgt weinig handen op elkaar als we de resultaten zien.Dat betekent dat veel informatie vanuit de organisatie naar de commissarissen via eigen kanalen (lees e-mail) of via een portal gaat. En blijkbaar heeft de commissaris zo veel vertrouwen in zijn eigen kennis en kunde van ICT dat een cyberawarensstraining wel gaat helpen maar een cybersecurity-audit thuis niet echt. Rara. Moet een commissaris misschien verplicht worden tot het gebruik van zulke apparatuur als hij niet de kennis heeft om zijn eigen thuis omgeving veilig in te richten? Daarnaast heeft de commissaris ook een voorbeeldfunctie. Bij cybersecurity geldt dat (het gedrag van) mensen vaak een van de grootste risico’s is. En de commissaris is ook maar een mens...
Waarom mobiele telefoons niet uit de rvc-vergadering weren?
‘Minister Wiersma gaat met scholen praten over het eventueel verbieden van mobieltjes in de klas. In de Tweede Kamer erkende hij dat mobieltjes de les kunnen verstoren, maar hij wees er ook op dat het aan scholen zelf is om daar beleid over te ontwikkelen. "Die ruimte is er en die ruimte pakken scholen ook."’ en verder uit de motie van CDA-Kamerlid Peters en zijn PVV-collega Beertema "het goed volgen van onderwijs met een smartphone in de buurt feitelijk onmogelijk is en dat brede consensus ontstaat dat smartphones in de klas zeer problematisch zijn".1Onlangs is in de Tweede Kamer een discussie gevoerd of via wetgeving mobiele telefoons uit de schoolklassen moeten worden geweerd. Zou een best practice moeten zijn dat hetzelfde moet gelden voor mobiele telefoons in de rvc-vergadering?
Het mobieltje is tegenwoordig niet meer uit de samenleving weg te denken, op de bank, wachtend op het openbaar vervoer en dus ook in de klas. Voldoende om eens te polsen hoe het zit met het mobiele telefoongebruik onder commissarissen tijdens rvc-vergaderingen. Alle zestien benchmarks geven aan dat op dit moment mobiele telefoons niet uit staan. Dat bleek ook tijdens de interviews. Het meest gehoord tijdens die interviews was dat de mobiele telefoons op stil stonden.Helaas zijn we tijdens de interviews vergeten te vragen of de telefoons alsnog op tafel lagen of weggestopt in de jas/tas zaten.2 Daarnaast werd in de meeste gevallen door iemand aangekondigd als hij/zij een belangrijk telefoontje verwachtte.
De aanleiding voor deze stelling was het gebruik van mobiele telefoons in de samenleving maar vertaling daarvan naar de rvc kent voor ons meer kanten. Dat was vanuit ons oogpunt tweeledig; aan de ene kant waren we benieuwd naar de veiligheidsaspecten, aan de andere kant naar het cultuurperspectief. Tijdens de interviews bleek dat veel commissarissen deze stelling bekeken en beantwoordden uit een veiligheidsoogpunt. Op zich niet vreemd gezien de berichten over bijvoorbeeld NSO spyware die overheden gebruiken om verschillende personen af te luisteren. Een kleiner deel van de geïnterviewden vatte de stelling op vanuit een cultuurperspectief. Hoe gaan we als collega’s in rvc om met mobiele telefoongebruik tijdens de vergadering? Meestal betreft het een ongeschreven regel. Een enkele keer heeft een voorzitter een collega in de raad gecorrigeerd op het gebruik van de telefoon tijdens een vergadering.
Uit de onderzoeksresultaten lijkt het dat de commissarissen, directeuren, secretarissen en internal auditors allemaal met de vraag worstelen.Het is wat betreft veranderwensen allemaal rood wat de klok slaat.Dat betekent urgentie. Urgent om het gelijk aan te pakken dan wel urgent om het bespreekbaar te maken. 1Tier, het familiebedrijf en de secretaris van de rvc/rvb zijn het duidelijk eens met de stelling: de mobiele telefoon moet uit. Ook de instemming bij de vrouwelijke commissaris, MKB, het onderwijs, de voorzitter van de rvc, het beursgenoteerde bedrijf en het groot niet-beursgenoteerde profitbedrijf ziet het min of meer als wenselijk. Voor het rvb-/directielid, de jongere commissaris, de woningcorporatie, de cultuursector en de zorg is deze stelling echter een bespreekbaar punt.
De vraag is dan: waarom moet de mobiele telefoon überhaupt aanstaan? Kan dat ene belletje echt niet wachten tot na de vergadering? Of nog beter, plannen na de vergadering? Software wordt op veel gebieden steeds toegankelijker. Vorig jaar wezen we op ransom-ware-as-service, spyware is al veel langer veel toegankelijker. Waarom het risico lopen? Toch jammer als blijkt dat de telefoon op tafel ligt bij gesprekken over overnames of over een mogelijk ontslag en men dreigt dat te openbaren?
1https://nos.nl/artikel/2462096...
2We zijn uitgegaan van een mobiele telefoon en hebben niet (door)gevraagd naar bijvoorbeeld whatsappgebruik op tablets of laptops.
Kijken op het Darknet, doet iemand dat?
“Mijn organisatie kijkt wel eens op het Darknet of daar gegevens van de organisatie staan”.
Het zal u niet verbazen dat geen van de benchmarks nu een ‘duidelijk mee eens’ heeft geroepen. Veel respondenten gaven tijdens de interviews aan het niet of niet zeker te weten of schatten in dat de organisatie dat niet deed. Bij een kleine groep hoorden we tijdens interviews dat die organisaties dit van hun externe digitale dienstenleverancier vroegen. Niet helemaal duidelijk was of dat een geste was van de leveranciers of dat hier duidelijke afspraken over zijn gemaakt. Bij slechts een enkel interview hoorden we dat iemand in de organisatie zelf op het Darknet kijkt. Dat bleek min of meer bijvangst bij de eigenlijke taak van die persoon te zijn.
Als we dan kijken naar de wenselijke situatie zijn eigenlijk alle respondenten het min of meer eens dat de organisatie op het Darknet gaat kijken. De enige die daarbij uit de toon valt is de zorgsector die dat als enige benchmark niet wenselijk vindt. De grootste voorstanders zijn het beursgenoteerde bedrijf, de voorzitter van de rvc, de jongere commissaris, de vrouwelijke commissaris en de commissaris die ook lid is van de auditcommissie. Maar als we kijken naar de verbeterwensen zien we nog veel meer naar boven komen. Ook de rvb heeft hier namelijk een urgente verbeterwens, net als onder andere het familiebedrijf en de woningcorporatie.
Gezien het enthousiasme om dit te gaan doen vragen wij ons af waar dit op gebaseerd is? Weet de commissaris waarom het hem een goed idee lijkt? Waar zegt hij ja tegen? We kunnen ons niet aan de indruk onttrekken dat commissarissen niet helemaal een goed beeld hebben van wat het Darknet nu precies is.
Moet rvc Zorg aan het infuus of naar de oogarts?
Het is zeer opvallend dat de Zorg van alle benchmarks gemiddeld de laagste mate van instemming heeft met de afzonderlijke stellingen bij dit deel van het onderzoek. Wij begrijpen dat niet. Als we denken aan zaken als elektronische patiëntendossiers, opereren met behulp van een robot, allerlei digitale hulpmiddelen op de IC, distributie van medicijnen en hulpmiddelen, dan lijkt het ons dat digitalisering in een zorginstelling topprioriteit moet hebben. Het kan bij sommige instellingen zelfs concreet om levens gaan. Kan een zorginstelling bij een hack zich dan permitteren geen losgeld te betalen? Of zijn cruciale onderdelen van het zorgproces losgekoppeld van de digitale wereld? En geldt dat ook voor de medewerkers, die daar werkzaam zijn? Worden ze niet digitaal ingepland, etcetera?
Moeten we de rvc in de Zorg misschien onder permanente bewaking/toezicht stellen wat betreft het ICT-/digitale domein? Of moeten we een oplossing vinden voor het misschien ziende blind zijn?
Holt commissaris van digitale winterslaap naar digitale winterslaap?
Bij dit onderdeel van het onderzoek valt een aantal zaken op dat historisch gezien symptomatisch lijkt te zijn voor de relatie tussen commissarissen en ICT en digitalisering.
- Stellingen op dit gebied hebben meestal een hoog percentage veranderwensen.
- Bij het aantal veranderwensen is het percentage bespreekbaar geworden punten meestal hoog.
- De gemiddelde mate van instemming in de wenselijke situatie is zelden in de klasse beslist mee eens (score ≥ 4.5).
- Er lijkt in de loop van de jaren geen noemenswaardige verandering op te treden in dit patroon.
Ad 1 hoog percentage veranderwensen
Een hoog percentage veranderwensen van meestal 80 procent of hoger dat hier voorkomt is uitzonderlijk, zeker vergeleken met een gemiddeld overall veranderpercentage van om en nabij de 35 procent per onderzoek. Commissarissen geven daarmee aan dat zij beslist ontevreden zijn over de huidige situatie op het ICT-/digitale domein.
Ad 2 hoog percentage bespreekbaar geworden punten
Onze ervaring leert dat bespreekbaar geworden punten zich vaak manifesteren bij onderwerpen waar respondenten intuïtief aanvoelen dat de situatie niet is wat die zou moeten zijn. Ook komt voor dat zij dit logisch ook zo vinden, maar nog niet de stap willen zetten om in een keer overstag te gaan. Meestal hebben ze daar meer jaren voor nodig. Ondersteuning van collegacommissarissen die al omgaan/zijn gegaan, werkt dan vaak zeer positief om mee te veranderen. Maar niet zelden duurt een veranderproces drie tot vijf jaar.
Ad 3 relatief lage gemiddelde instemming met stelling in de wenselijk situatie
Bij de hier bedoelde stelling ligt de instemming in de huidige situatie op de 5-puntsschaal geregeld in het bereik 2.0 – 3.2. De wenselijke situatie heeft dan een bandbreedte van scores tussen de 2.5 – 3.8. Daarbij hebben wij de indruk dat de score meer wordt gerelateerd aan de score voor de huidige situatie dan aan de score van de wenselijke situatie gezien de aard van de problematiek en de mogelijk downsiderisico’s. Wij vragen ons af of die terughoudendheid te maken heeft met onze Nederlandse cultuur of met te veel onbekendheid van het werkgebied en het niet of niet voldoende kunnen inschatten van risico’s die de continuïteit van de organisatie en/of de dienstverlening aan de klanten zeer sterk kunnen beïnvloeden in negatieve zin.
Ad 4 geen noemenswaardig verandering in dit al jarenlang geconstateerde patroon
Antwoorden hebben we niet, maar vragen wel. En soms is de vraag stellen hem ook beantwoorden.
- Is het ict/digitale terrein een aandachtsgebied dat zich heel snel ontwikkelt?
- Heeft een commissaris voldoende basiskennis/-ervaring op dit gebied?
- Schakelt een rvc wel tijdig genoeg support in?
- Vertrouwt de rvc misschien teveel op de rvb?
- Kan de rvc op dit terrein wel voldoende kritische vragen stellen en de eventuele antwoorden beoordelen?
- Beweegt de rvc wel snel genoeg mee? Of blijft de rvc continu achter de feiten aanlopen?
- Is de rvc wel proactief genoeg of is de rvc te reactief?
- Moet de rvc buiten de rvc om zoeken naar een permanente opname van ICT/digitalisering know how en ervaring (een positie tussen lid rvc en extern adviseur in bijvoorbeeld)?
Ons bekruipt soms het gevoel dat diverse rvc’s nog bezig zijn met het zoeken van de antwoorden op de ICT/digitale vragen van gisteren. En als dat antwoord is gevonden zijn ze gerust en kunnen ze hun middagdutje of winterslaap gaan doen. En dan gaat er een ‘alert’ af er is weer iets nieuws, waarop niet is gerekend. Het circus begint dan weer opnieuw. Hoe kan en moet dit anders?