CFO, neem je verantwoordelijkheid voor databeveiliging
Door Sjaak Schouteren, Manager Cyber Risk Solutions bij Aon
De ‘private’ verantwoordelijkheid voor onze digitale infrastructuur rust ook op de schouders van de CFO. Databeveiliging raakt immers rechtstreeks aan de financiële planning en risico’s van een bedrijf; maatregelen in databeveiliging vragen om investeringen en het risico op cyberincidenten is verstrekkend en reëel. In hoeverre bent u als CFO zich van deze verantwoordelijkheid bewust? Denkt u bij databeveiliging verder dan de muren van uw bedrijf?
Cyber en brand
Wat mij bemoedigt, is dat digitale veiligheid aantoonbaar steeds meer leeft bij bedrijven. Zo blijkt uit onderzoek van de Zurich Insurance Group dat het bewustzijn omtrent cyberrisico’s onder middelgrote en kleine Europese bedrijven tussen 2013 en 2016 meer dan verdrievoudigd is. Hiermee is het ‘t snelst groeiende bewustzijn in de laatste jaren. Uit onderzoek van onderzoek van verzekeraar Allianz blijkt dat bedrijven die actief zijn in Nederland zich het meest zorgen maken over het risico dat zij bij cyberincidenten lopen. Met ieder 37 procent voeren deze twee risico’s (cyber en brand) de Nederlandse risicolijst aan van de Allianz Risk Barometer.
In gesprekken met klanten merk ik helaas ook dat CFO’s databeveiliging nog niet als topprioriteit beschouwen en niet altijd op de hoogte zijn van alle (aankomende) wetgeving. Te vaak verwijzen ze voor cyberkwesties door naar ICT. ‘Cyber’ voelt nog steeds vooral als een bijzaak en niet als een thema dat rechtstreeks aan de bedrijfsvoering raakt.
Brand is wel zo’n thema. Ongetwijfeld investeert u graag in brandoefeningen, sprinklerinstallaties en een brandverzekering omdat u bekend bent met de fysieke impact van een brand. U kent ook de financiële schade. Grote branden kosten het bedrijfsleven zo’n 600 miljoen euro per jaar. Maar wat nu als ik vertel dat de jaarlijkse schade in Nederland als gevolg van cyberincidenten 10 miljard euro is? Dat rechtvaardigt toch de vraag of u wel de juiste afweging maakt in uw risicobeheersing.
License to operate
Cyberrisico’s zijn net zo’n belangrijk thema als brand, of eigenlijk nog belangrijker. En het belang ervan groeit alleen maar: het zal niet lang meer duren voor een gedegen digitale beveiliging een harde eis wordt voor de license to operate. Sinds 1 januari 2016 geldt de meldplicht datalekken al. In 2018 zullen onder de nieuwe Europese Algemene Verordening Gegevensbescherming nog strengere eisen worden gesteld aan de gegevensbescherming van bedrijven. Organisaties hebben tot eind mei 2018 de tijd om hun bedrijfsvoering op orde te brengen.
Vraagt u zich af wat u kunt doen om uw databeveiliging te verbeteren? Ik geef u vijf tips:
- Geef naast technische maatregelen in het kader van databeveiliging voldoende aandacht aan het kweken van bewustzijn bij medewerkers. Een goed beveiligde en afgeschermde ICT-omgeving wel enige zekerheid, maar rondslingerende USB-sticks of wachtwoorden als ‘wachtwoord123’ kunnen alsnog veel ruïneren.
- Kijk over de muren van uw bedrijf heen. Digitale veiligheid is een ketenverantwoordelijkheid en niet alleen een kwestie van zelfbescherming: als de maatregelen van klanten, leveranciers en partners niet overlappen of aansluiten, is de hele keten – dus ook uw bedrijf – alsnog kwetsbaar voor hacks, datalekken en digitale spionage.
- Maak van databeveiliging een absolute topprioriteit als uw bedrijf ‘handelt’ in kennis. Cybercriminelen richten zich hier steeds sterker op. Kennisdiefstal ligt meer dan ooit op de loer.
- Zorg dat u digitale aanvallen signaleert. Veel bedrijven blijken ‘blind’ voor cyberaanvallen. Maar liefst twee derde van de bedrijven die in 2015 door een cyberaanval werden getroffen, had de betreffende aanval niet zelf waargenomen.
- Sluit een cyberverzekering af. Ze bieden een ruime dekking tegen relatief lage kosten. Een gedegen verzekering geeft meer garantie op continuïteit, ontzorgt en draagt daarmee bij aan uw ketenverantwoordelijkheid.
Sjaak Schouteren is Manager Cyber Risk Solutions bij risicoadviseur en verzekeringsmakelaar Aon