Wanneer we de macht binnen een private onderneming beschouwen, komen we al snel uit bij een Raad van Bestuur als het hoogste orgaan van besluitvorming. De voorzitter daarvan, de Chief Executive Officer (CEO), is de persoon die de meerjarige strategische richting uitzet, zorgt voor de besturing van de onderneming en de goedkeuring van strategische investeringen. Binnen de dagelijkse gang van zaken veronderstellen we gemakkelijk dat de CEO zich op de top van de machtspiramide van de onderneming bevindt en altijd het laatste woord heeft. Een imponerende positie, die vaak tot enige afstand en ontzag leidt.
Echter, iedere private onderneming heeft ook een eigenaar. Deze eigenaar of eigenaren zijn de aandeelhouders, een private investeerder of een hedge fund. Daarnaast hebben veel ondernemingen ook een Raad van Commissarissen die namens de eigenaren toezicht houdt op het door de bestuurders gevoerde beleid en de algemene gang van zaken binnen de onderneming en die tevens een belangrijke rol speelt in de aanstelling van de bestuurders.
Zo bezien is de almachtig lijkende CEO toch ook gewoon weer een werknemer die verantwoording af moet leggen aan zijn of haar bazen. Iemand die doelstellingen meekrijgt en periodiek over de status en voortgang rapporteert en die aan het einde van het jaar op grond van de behaalde resultaten een prestatiebonus krijgt uitgekeerd.
Dat maakt van eigenaren en commissarissen een macht van belang. Ook in het kader van informatiebeveiliging. Wanneer zij zich zorgen maken over informatiebeveiliging of een zekere informatiebehoefte aangaande het onderwerp hebben, zal dit zich vertalen in doelstellingen voor de CEO en de Raad van Bestuur en zullen zij hierover periodiek verantwoording af moeten leggen.
Welnu, ieder jaar verschijnt het Grant Thornton Commissarissen Onderzoek naar het huidige en gewenste functioneren van Raden van Commissarissen. In deel IV van het meest recente rapport lezen we dat de informatiebehoefte van commissarissen over “risicobeheersing” het laatste jaar sterk gestegen is. Verder lezen we dat in de categorie niet-financiële informatievoorziening, de commissarissen de onderwerpen “reputatie” en “veiligheid” nu als de twee belangrijkste informatiebehoeften aanmerken.
In de toelichting op deze trends lezen we, “dat naast ontwikkelingen op het gebied van “integrated reporting”, diverse publicaties en ervaringen op het gebied van cybercrime de commissarissen de ogen geopend hebben en hebben laten zien dat een begrip als “veiligheid” verschillende definities kent”, waaronder informatiebeveiliging.
De bazen van de baas komen dus in beweging en stellen nu de juiste vragen! Voor het bepalen van de juiste richting en het stellen van de juiste prioriteiten voor informatiebeveiliging is het voor een Security Officer dus van belang om zicht te hebben op de onderwerpen die in een Audit Committee, management letter of andere vormen van communicatie tussen Raad van Bestuur en Raad van Commissarissen besproken worden.
Echter, deze informatie is niet breed beschikbaar. U zult als Security Officer een vertrouwenspositie moeten verwerven om van deze informatie voorzien te worden en dat vereist doorgaans een goede relatie met de Raad van Bestuur en de CEO. Gelukkig blijkt de CEO nu niet de grote, vuurspuwende kop van de “Grote en Machtige Oz” te zijn, maar gewoon een collega die voor dezelfde onderneming werkt als u en die ook bazen, targets en uitdagingen heeft.
Met dit inzicht wordt het in contact komen met de CEO en het opbouwen van een vertrouwenspositie bij de Raad van Bestuur eenvoudiger en kan de dialoog over informatiebeveiliging op gang komen. Vanuit deze positie kunt u uw CEO als “trusted advisor” vanuit uw expertise helpen bij het maken van de juiste keuzes en bij het verstrekken van de juiste informatie aan zijn of haar bazen.
Doe er uw voordeel mee!