Kijk, of luister nu terug! CFO Studio: Cyberrisico’s in Finance – Ben jij voorbereid?

In de laatste CFO Studio – Cyberrisico’s in Finance – Ben jij voorbereid? – ging Vincent van Beek, Senior Specialist en Practice Lead Cyber bij VLC & Partners (Howden Group) in gesprek met Alexander van der Bijl, CFO van Florensis, over de ins & outs rondom cyberdreiging en wat je als CFO kunt doen om je organisatie te beschermen.

Van Beek die vanuit zijn functie veel bedrijven spreekt – “en heel veel CFO’s en CISO’s” – ziet de laatste jaren een groeiende volwassenheid op het gebied van cybersecurity en cyberweerbaarheid: “Dit zie je niet alleen terug binnen het bedrijfsleven, maar ook in internationale wetgeving. Maar we zijn er nog niet. Er zijn nog genoeg bedrijven die struisvogelpolitiek hanteren.” Als hij een rapportcijfer zou moeten geven voor Nederland en het niveau van cyberrisk awareness komt hij uit op een getal rond de 6,5 – en hier en daar een 7.

Hoe kijkt Alexander van der Bijl, CFO van Florensis, naar de cyberrisks die zijn organisatie loopt? Van der Bijl: “Wij zijn een producent en veredelaar van jonge planten. Dat betekent dat we op een aantal continenten werken. Lange ketens in je proces zorgen voor een bepaalde kwetsbaarheid, dus wij denken al heel wat jaren heel serieus na over hoe we ons goed kunnen wapenen tegen cyberrisico’s.”
Zijn rol als CFO is die van procesaanjager. Van der Bijl: “Ik denk mee vanuit de bestuurskamer maar zorg ook dat de juiste mensen binnen Florensis erbij betrokken zijn. Het besef zit echt tot in de haarvaten van onze organisatie, op alle continenten waar we werken.”

“We hebben toen ook een ethical hacker ingehuurd. Dat was tien jaar geleden nog niet heel gebruikelijk.”

Geen slechte houding, aldus Van Beek: “De kans dat je als bedrijf geraakt wordt door een cyberincident, van welke omvang dan ook, is één op vijf. Dat is enorm hoog. Het is niet de vraag of je te maken krijgt met cybercrime, maar een kwestie van wanneer.”

Wake-up call

Van der Bijl is inmiddels al meer dan tien jaar eindverantwoordelijk voor cybersecurity binnen Florensis. “Tien jaar geleden dacht ik dat we onze zaken aardig geregeld hadden. Dat bleek, toen we echt ging testen, heel erg tegen te vallen. We hebben destijds best een serieus incident gehad. Een puur technisch incident trouwens, dat helemaal niets met cybersecurity te maken had. Maar het was wel een wake-up call.”

De technische supply chain-verstoring waarmee Florensis te maken kreeg was de aanleiding om eens echt goed naar alle aspecten van veiligheid te kijken, rondom alle systemen. Van der Bijl: “We hebben toen ook een ethical hacker ingehuurd. Dat was tien jaar geleden nog niet heel gebruikelijk. Maar we wilden in een keer echt goed kijken waar de risico’s zaten. Ik kan je verzekeren: dat was een behoorlijk ontnuchterende ervaring.” Stap voor stap nam de organisatie sindsdien alle noodzakelijke maatregelen om tot een acceptabel niveau van beveiliging te komen. “Daar zit een enorme leercurve in. Zelf heb ik ook enorm veel opgestoken in die periode.”

Van Beek adviseert regelmatig bedrijven die aan het begin staan van hun leercurve: ”De eerste stap is verkennen: Wat doe je? Welke processen zijn er – en welke risico’s brengt dat met zich mee? Zijn de productiesystemen verbonden met de kantooromgeving, of zijn ze volledig gesegmenteerd? Op die manier interviewen wij onze klanten. En daarover gaan we dan in gesprek.”

Meer weten over de lessen van Alexander van der Bijl en wat je als CFO kunt doen aan het beschermen van je organisatie? Kijk/luister de hele CFO Studio dan terug via deze link.