Sander Roosendaal, CFO van Northwave: “Statelijke actoren en AI zijn de bepalende factoren voor de komende jaren op het gebied van cybersecurity.”

Sander Roosendaal, sinds december 2023 de nieuwe CFO van Northwave Group, is van huis uit econoom en heeft ruime ervaring in de banking en accountancy. De laatste zes jaar heeft hij als CFO SecureLink laten groeien van een scale-up naar Orange Cyberdefence Nederland, onderdeel van het Franse Orange. 

Roosendaal: “Sinds onze start in 2006 richten wij ons bij Northwave voor 100% op het leveren van een holistische benadering van cyber risicomanagement. Dit betekent dat we altijd kijken naar de volledige complexiteit van de uitdaging en ervoor zorgen dat onze klanten voortdurende controle hebben over hun cyberrisico's. Met ons hoofkantoor gevestigd in Nederland, zijn we een echt Europees bedrijf. Daarnaast hechten wij waarde aan het feit dat we zelf-gefinancierd zijn en volledig in eigendom van het management. Momenteel bestaat ons team uit ongeveer 300 experts die werken vanuit kantoren in Utrecht (NL), Leipzig (DE) en Brussel (BE) en nu Stockholm. Hiervandaan beschermen we Europese bedrijven in hun zakelijke ondernemingen over de hele wereld”.

Snelheid, schaalbaarheid en APT’s

Wat heeft de CFO de afgelopen jaren gezien aan trends als het gaat om cybersecurity? Roosendaal: “De trends in cybersecurity gaan zo snel dat bedrijven echt moeten balanceren tussen snelheid en aanpassingsvermogen. Als voorbeeld, Machine Learning en AI ontwikkelen zich heel snel. Dat heeft consequenties voor het gewenste menselijk gedrag, maar ook wet- en regelgeving moet zich daar continu op aanpassen, zoals je nu ziet met de NIS2 Directive. Allemaal factoren waar organisaties in toenemende mate mee te maken krijgen qua impact en snelheid, en vooral vanuit een noodzakelijke geïntegreerde aanpak’’

Roosendaal ziet verder dat, naast de bekende ransomware-aanvallen die bedoeld zijn om geld af te dwingen, zogenaamde Advanced Persistent Threaths (APT’s) een steeds grotere rol spelen in het bedreigen van Europese en Amerikaanse bedrijven. ATP’s zijn lange termijn hacks met een spionagedoel, vaak komen deze vanuit landen als China en Rusland. In toenemende mate worden er pogingen gedaan om in systemen te komen, of het nu gaat om bedrijfsgevoelige informatie of het ontwrichten van cruciale systemen. “Deze strijd is nog lang niet voorbij”, aldus de CFO. “Sterker nog, deze geopolitieke krachten zullen een grote – zo niet bepalende – factor zijn voor de dreigingen op het gebied van cybersecurity en de machtsverhoudingen in de komende 50 jaar.”

Doorlopende maturity journey

Honderden bedrijven worden in Nederland elk jaar getroffen door ransomware-aanvallen. Roosendaal: “Bedrijven hebben er niet altijd baat bij om transparant te zijn over wat er misgaat, maar voor het collectief belang zou het misschien wel goed zijn als er meer over zou worden gepraat om het bewustzijn te vergroten. Als we de zware en georganiseerde cybercriminaliteit écht een slag willen toebrengen, is het onvermijdelijk dat inzichten worden gedeeld van digitale aanvallen. Niet alleen slachtoffers hiervan, maar ook cybersecuritybedrijven en de overheid zullen actief informatie over aanvallen van deze groepen moeten delen, om het criminele ecosysteem te kunnen ontwrichten.”

Volgens Roosendaal is het verstandig dat bedrijven op board niveau betrokken zijn bij cybersecurity en er een punt van maken een doorlopende groei-agenda te implementeren rondom security. Hij vertelt: “Gezien de ontwikkeling van nieuwe risico’s steeds sneller gaat, is het belangrijk om een proactieve houding aan te nemen als het gaat om de bescherming van je bedrijf. Dat geldt overigens ook voor onszelf.  Om je bedrijf adequaat te beschermen tegen cyber risico’s moet je op de hoogte zijn van hoe threat actors zich gedragen én van ontwikkelingen in technologie die invloed hebben op je kwetsbaarheid of je bescherming. Dat is heel wat om in de gaten te houden. Daarom hebben wij ook een eigen Northwave innovatiecentrum ingericht. In ons innovatie centrum komt die dreigingsinformatie samen met productinnovatie en technologie-expertise. Hiermee zorgen we ervoor dat met onze diensten onze klanten steeds optimaal beschermd worden tegen cyber-dreigingen.”

Lees ook op CFO.nl: Hoe zorg ik als CFO dat mijn organisatie binnen 10 maanden NIS2 proof is?

Twee jaar geleden is er echt een kantelpunt gekomen in de manier van kijken naar cybersecurity. Automation brengt namelijk steeds grotere kansen met zich mee met andere prijsmodellen. Daar moet je als aanbieder wel in mee, anders kun je niet schalen.

Wat gaat dit de CFO aan?

Als CFO ervaart Roosendaal zijn rol steeds vaker als ‘waarde toevoeger’. “Ik houd me bijvoorbeeld bezig met vragen als: hoe zetten wij onze propositie scherp in de markt? Hoe richten we onze organisatie in om in optimaal te opereren? Maar dat betekent ook dat je als CFO moet nadenken over de vraag: hoeveel kost een security incident nu eigenlijk? Wat ben ik kwijt – in tijd en in euro’s – om onze systemen weer up en running te krijgen na een aanval? Hoe richten wij onze businessprocessen zo in dat ze optimaal resilient zijn bij een aanval? De CFO zal samen met andere collega’s in de boardroom, steeds nadrukkelijker worden aangesproken op cybersecurity als onderdeel van goede governance en risk management.”