Schroders: Cybersecurity - waarop moeten beleggers letten bij het beoordelen van bedrijven en cyberrisico’s?

Cybercriminaliteit is een steeds belangrijker risico voor bedrijven en organisaties wereldwijd. Het creëert een significante kostenpost en die neemt alleen maar toe. Beleggers moeten daarom volgens Schroders meer inzicht krijgen in hoe goed bedrijven dit risico beheren.

Digitale data is de afgelopen jaren exponentieel gegroeid door de toegenomen penetratie van mobiele apparaten en het gebruik van online diensten. De snelle groei van de hoeveelheid data die bedrijven opslaan, waarvan er veel relatief weinig ervaring hebben met gegevensbeheer en -beveiliging, heeft cybercriminelen aangetrokken die gebruik maken van steeds geavanceerdere tools en technieken. Cybercriminaliteit kost bedrijven wereldwijd zo'n 60% meer dan 5 jaar geleden. In de VS zijn de kosten zelfs met meer dan 80% gestegen. Geen enkel bedrijf kan het zich nog veroorloven om de dreiging die van cybercriminaliteit uitgaat te negeren.

Wat is een cyberrisico?

Cyberrisico is een breed begrip. Voor de meeste mensen staat het voor het risico van verlies of schade door inbreuken op of aanvallen op informatiesystemen. Dat verlies kan vele vormen aannemen, zoals directe financiële schade, reputatieschade of aantasting van de operationele continuïteit.

Waarom moeten beleggers alert zijn op cyberrisico’s?

Cybercriminaliteit is een steeds kritischer bron van bedrijfsrisico's, vooral voor bedrijven met belangrijke immateriële activa zoals merken, klantrelaties of technologie. De negatieve impact van een datalek kan rechtstreeks gevolgen hebben voor het concurrentievermogen van bedrijven, toekomstige inkomsten en toekomstige verplichtingen. Datalekken brengen vaak slechte bestuurspraktijken en zwak management aan het licht; het veranderen van de wijze waarop mensen werken of aanpassen van beleid kan snel gerealiseerd worden, maar het herstellen van markt- en klantvertrouwen duurt veel langer.

Volgens Schroders moeten beleggers onderzoeken in hoeverre ondernemingen zijn voorbereid op cyberaanvallen. De aanpak van bedrijven moet ervoor zorgen dat wanneer (en niet als) een inbreuk plaatsvindt, processen en middelen aanwezig zijn om de impact op de bedrijfsactiviteiten en op het vermogen om waarde te creëren tot een minimum wordt beperkt.

Is er voldoende expertise in huis en draagt de directie de verantwoordelijkheid? Volgens Schroders moet een bedrijf voor een adequate beveiliging tegen cybercriminaliteit beschikken over de juiste expertise en moet de directie bereid zijn om zijn verantwoordelijkheid te nemen.

Expertise

Het is essentieel dat een bedrijf beschikt over een goed toegerust en gespecialiseerd cyberbeveiligingsteam, dat wordt geleid door een Chief Information Security Officer (CISO) en dat bij voorkeur rapporteert aan de CEO of het bestuur. Het beveiligingsteam moet ook regelmatig gebruik maken van gespecialiseerde externe expertise om op de hoogte te blijven van nieuwe bedreigingen en beveiligingsinstrumenten. Intern moet het team rechtstreeks eigenaar zijn van specifieke technologische taken zoals penetratietesten, beveiligingspatches, enz.

Verantwoordelijkheid op bestuursniveau

De raad van bestuur dient over specifieke deskundigheid te beschikken om te beoordelen of het bedrijf over de juiste operationele en bestuurlijke middelen beschikt om cyberrisico’s te beperken.

Een analyse van de mate van expertise en bestuursverantwoordelijkheid binnen een bedrijf geeft analisten en fondsbeheerders een basis, waarop zij in gesprek kunnen gaan met de topbestuurders van de ondernemingen om zo een beeld te krijgen in hoeverre cyberrisico’s op het netvlies van bedrijven staan.

Beleggers moeten zich verdiepen in cyberrisico's

Cyberrisico’s worden steeds belangrijker voor elke organisatie. Beleggers moeten meer inzicht krijgen in hoe goed ondernemingen in hun portefeuilles bereid zijn om deze risico’s te beheren. Dat houdt in dat beleggers zich moeten verdiepen in hoe risicobeheersing op het hoogste niveau is geregeld en over welke technische expertise het bedrijf beschikt, zodat risico’s geïdentificeerd kunnen worden voordat zij zich materialiseren.