Grip budgetten cyberbeveiliging ligt maar weinig bij CFO’s

Ondanks impact en dus bedrijfsbelang

Uit de enquête, die in het eerste kwartaal werd uitgevoerd, bleek dat de helft van de budgetten voor cyberbeveiliging ‘berust’ bij de chief technology officer en 42% bij de chief information security officer. Slechts 34% van de CFO’s en 32% van de CEO’s hebben de sleutel tot het cyberbudget in handen.

Lees ook: EU-enquête: weinig aandacht voor cyberveiligheid bij bedrijven – FM.nl – Financieel Management (financieel-management.nl)

Dat is opmerkelijk, aangezien cyberaanvallen en cyberbeveiliging een financiële impact kunnen hebben. Volgens een recent onderzoek van KPMG bedraagt het gemiddelde jaarlijkse budget voor beveiligingsactiviteiten van grote bedrijven ongeveer 14,6 miljoen dollar. Ondertussen kost de gemiddelde cyberaanval door een staat naar schatting 1,6 miljoen dollar per incident.

Technisch gesproken vallen alle budgetten onder de financieel directeuren, maar er zijn grote verschillen tussen bedrijven wat betreft wie meer controle heeft, volgens Tauseef Ghazi, RSM’s topmanager op het gebied van beveiliging en privacy. Bij veel bedrijven is de budgetteringsstructuur aan herziening toe, zegt hij.

‘Overkoepelende rol van CFO’

“Ik denk dat de CFO het overkoepelende budget beheert, maar vertrouwt op hun IT- of beveiligingsmanagers om te helpen bij het bepalen van de behoeften,” zei Ghazi in een e-mailreactie op vragen.

“In veel gevallen zien de CFO’s zichzelf ook als de overkoepelende leiders op het gebied van kostenbeheersing, wat kan leiden tot druk voor lagere budgetten als de behoeften en risico’s voor de organisatie niet goed worden uitgelegd. Het is noodzakelijk dat CFO’s deze risico’s en operationele budgetten tot in detail begrijpen, omdat alle budgetten uiteindelijk naar hen toe rollen,” zei hij.

Voor- en nadelen

Er zijn voor- en nadelen verbonden aan de exacte ‘locatie’ van het budget voor cyberbeveiliging, zei Ghazi in een interview. Hij merkte daarbij op dat zijn bedrijf sommige bedrijven heeft gecoacht om het budget over te hevelen naar andere afdelingen, afhankelijk van wat er binnen het bedrijf gebeurt.

Maar er zijn bepaalde voordelen die CFO’s kunnen behalen door de verantwoordelijkheid op zich te nemen, zei hij. “Ik doe dit al 25 jaar en als ik zie dat budgetten worden toegewezen via de CFO-afdeling dan is de cyberbeveiligingsstrategie over het algemeen beter afgestemd op de bedrijfsstrategie die moet leiden tot een bedrijfsresultaat”, zei Ghazi in een interview.

Wanneer de technische leidinggevenden daarentegen meer controle hebben, kan het voelen alsof het niet is afgestemd op de strategie van de organisatie. “Het is meer gericht op tools.” Evenzo is een van de nadelen van het plaatsen van de cyberkosten búiten de CFO’s hoofdbevoegdheid dat die financiële topmanagers afstand kunnen nemen van de implicaties van bepaalde beslissingen, zei hij.

Te weinig security?

Ze kunnen bijvoorbeeld kanttekeningen plaatsen bij de noodzaak voor meer uitgaven aan cyberbeveiliging als het bedrijf al bepaalde cloudgebaseerde producten heeft aangeschaft die als beschermend worden gezien. Maar afhankelijk van welke abonnementen of soorten cloudservices het bedrijf aanschaft, kunnen ze nog steeds meer bescherming nodig hebben, zegt Ghazi.

Lees ook: Expert: “Betalen losgeld niet de uitkomst bij cyberaanval” – CFO

Een ander nadeel van de aanpak waarbij technische leiders toezicht houden op het cyberbudget is dat uitgaven voor cyberbeveiliging vaak worden opgeofferd om andere technische en digitale transformatieprojecten te financieren. Daardoor lopen bedrijven veel risico’s terwijl ze die projecten worden uitgevoerd, aldus de RSM-manager voor security en privacy risk management.

Slechts voldoen aan verplichtingen

“We hebben gevallen gevonden waarin cyberteams het absolute minimum doen om te voldoen aan nalevingsverplichtingen in plaats van een holistisch cyberbeveiligingsprogramma op te bouwen dat weerbaar is tegen opkomende bedreigingen zoals ransomware,” zei Ghazi in een e-mail. Daarom is het volgens hem zinvol dat cyberbeveiliging de flexibiliteit heeft om los van IT-budgetten te opereren maar dan wel mét een directe lijn naar de CFO. “IT operations en security kunnen zijn immers vaak met elkaar in conflict.”