/ Deloitte over data (advertorial)

rss
Gepubliceerd: 
Laatst gewijzigd: 
12 juli 2012 17:04
12 juli 2012 17:04

Cyber security hoger op de agenda

 CFO's zijn zich steeds beter bewust van de risico's die hun organisatie op het gebied van cyber security loopt. Dat blijkt uit een onderzoek van Deloitte onder 39 topmannen van grote Nederlandse bedrijven. Bijna een derde van de ondervraagde CFO's is vooral bang voor reputatieschade.

Cyber security hoger op de agenda

 "En terecht", zegt Jacques Buith, partner bij Deloitte Risk Services. "We hebben de afgelopen tijd in de media vaak genoeg gezien dat wanneer er bij een bedrijf een lek in de IT-beveiliging zit, de reputatie behoorlijk op het spel staat. Consumenten en investeerders kunnen het vertrouwen in jouw organisatie verliezen, hoe degelijk en betrouwbaar je imago ook is. De kosten daarvan zijn hoog, want vaak zie je dat al meteen terug in de aandelenkoersen."

Een andere reden voor het feit dat cyberrisico ook in de bestuurskamer steeds meer aandacht krijgt, is dat de cyberaanvallen die tegenwoordig plaatsvinden veel meer impact hebben dan die van enkele jaren geleden. Buith: "Een relatief kleine cyberaanval zag de CFO voorheen niet terug in de kwartaalcijfers en hoefde hij dus niet te verklaren. Met de kennis die internetcriminelen nu hebben, kunnen ze veel financiële schade aanrichten bij grote organisaties. Een CFO moet zich daarvoor verantwoorden."

Probleem

Ondanks dat er onder CFO's meer bewustzijn lijkt te zijn, ziet nog altijd 36 procent van hen cyber security als een probleem van de it-afdeling. En dat percentage is nog veel te hoog, vindt Buith. "Bedrijven komen vaak pas in actie als er al iets is gebeurd: als het kalf verdronken is, dempt men de put. Maar dan is het dus te laat, want je hebt dan al reputatieschade opgelopen."

Gemiddeld geven CFO's hun organisatie een 6,8 als rapportcijfer voor hoe zij omgaan met cyber security. Dat zou eigenlijk een stuk hoger moeten zijn, zegt Buith. "Er zijn kennelijk nog steeds mensen die denken dat ze kunnen omgaan met cyber risico's door precies te voldoen aan de wet- en regelgeving. Maar als je je precies aan de regeltjes houdt, en niet meer doet dan strikt noodzakelijk, kom je uit op een zes. Er hoeft dan maar iets mis te gaan of je hebt een onvoldoende. Perfecte beveiliging bestaat niet, maar een 9 zou het streven moeten zijn.”

Bewustwording

Die negen nastreven begint met bewustwording. Leiders van een organisatie van welke omvang dan ook, moeten zich realiseren dat we hyperconnected zijn. Buith: "Iedereen is met elkaar verbonden en dus ook van elkaar afhankelijk. Als je dat als bedrijf erkent, moet je dat duidelijk maken aan alle partijen in je keten: van je leveranciers tot je klanten. Vertel ook je leveranciers dat je van hen verwacht dat ze aan bepaalde veiligheidseisen voldoen. Want je bent uiteindelijk zo sterk als je zwakste schakel."

Daarnaast zou er binnen elke organisatie een iemand op het hoogste niveau verantwoordelijk moeten zijn voor het cyber risicomanagement. "Je ziet vaak dat ergens weggestopt bij de it-afdeling een security officer zit, die het risicomanagement misschien zelfs heeft uitbesteed. Natuurlijk kun je binnen je organisatie alle verschillende risico's op de betreffende afdelingen beheersbaar maken. Zolang je er maar voor zorgt dat er een leider is binnen de organisatie die eindverantwoordelijke is voor het risicomanagement. Daarmee laat je zien dat je de risico's serieus neemt."

Een organisatie kan nooit voorkomen het slachtoffer te worden van een cyberaanval, maar kan er wel alles aan doen om de risico’s te beperken, zo vindt Buith. "Zorg ervoor dat wanneer er een cyberaanval plaatsvindt, de organisatie zo goed mogelijk is voorbereid om de gevolgen in te perken en zo snel mogelijk te herstellen. De gehele organisatie moet hierin zijn verantwoordelijkheid nemen. De mate van voorbereiding kan niet afhankelijk zijn van de IT-afdeling alleen."

Door: Deloitte
  • Deel:

nubijlage.nl is onderdeel van de Sanoma Media Netherlands groep