Cyber risks: durft u ze te accepteren?

Cyber risks: durft u ze te accepteren?

Hoe ga je als bestuurder om met cyber risico's? Iedereen kent het gevoel. U rijdt naar uw werk en denkt: “Heb ik de voordeur eigenlijk wel op slot gedraaid?” Precies dat gevoel blijkt het leeuwendeel van alle CEO’s elke dag te hebben als het om cyber risks gaat.

Partner Cyber Security

KPMG Nederland

Contact

Gerelateerde content

KPMG vroeg ruim duizend bestuursvoorzitters over de hele wereld waarover zij zich het meest zorgen maken. Het antwoord luidt: risico’s op het terrein van cyber security. Het risico om slachtoffer te worden van cyber crime staat zelfs hoger op hun prioriteitenlijstje dan, zeg, het risico om te kiezen voor een verkeerde strategie of geopolitieke risico’s (denk aan de Brexit). Die grote zorgen rond cyber hebben een hele goede reden. Tweederde van de bestuursvoorzitters stelt dat de eigen organisatie niet volledig is voorbereid op cyber crime. In de ogen van de bestuursvoorzitter wemelt het van de inbrekers op straat en staat de voordeur op een uitnodigend kiertje. Wat nu?

De grootste fout die CEO’s kunnen maken, is zich bezondigen aan paniekvoetbal – iets wat nog geregeld voorkomt na een cyber incident. Meestal gaat dat zo. Een organisatie wordt slachtoffer van cyber crime. Klantgegevens liggen op straat, bedrijfsgeheimen zijn gestolen, IT-systemen functioneren niet meer, dat werk. In de daaropvolgende paniek worden tientallen techneuten naar binnen gehaald, die de meest ambitieuze programma’s uit de grond stampen tegen astronomische bedragen en waarvan het zeer de vraag is of organisatie en medewerkers ermee uit de voeten kunnen. Reputatie aan diggelen, torenhoge kosten en geen idee of de deur nu wel echt op slot zit.

100 procent = illusie

In plaats van flinke bedragen voor groots opgezette programma’s uit te trekken, is het beter risico’s te analyseren en te managen. Dat begint met de vraag wat u nu eigenlijk wilt beveiligen. Bedrijven kunnen nu eenmaal niet alles beschermen. Honderd procent veiligheid is een illusie, al is het maar doordat de organisatie daarvoor eigenlijk met een ‘clean sheet’ moet beginnen en de hele IT-structuur opnieuw moet opzetten. Succes, zeker als de organisatie ooit fusies en overnames kende waarbij ook IT moest samengaan. En zelfs al begint een organisatie van voor af aan, dan nog kunnen partnerorganisaties die het niet zo nauw nemen met cyber risks, medewerkers die onvoorzichtig met hun wachtwoord omspringen of cybercriminelen die iets heel nieuws verzinnen roet in het eten gooien.

Deze risk-based benadering helpt om erachter te komen wat je kroonjuwelen zijn, die je optimaal wil beschermen. Zo weet de organisatie precies waarin het gericht moet investeren, wie het moet trainen en welke dreigingen het moet blijven monitoren om uiteindelijk de weerbaarheid te vergroten. Let op: weerbaarheid, niet veiligheid. Veiligheid is per slot van rekening een illusie, het gaat erom wat een organisatie doet als er een cyber incident plaatsheeft. 

Rare plaatjes

Uiteindelijk komt het erop neer dat de organisatie bepaalde risico’s afdekt, maar andere risico’s accepteert. Erg? Nee, als iemand een marketingsite voor babyvoeding hackt en voorziet van rare plaatjes of teksten, is er niet zoveel aan de hand. Pas als iemand inbreekt in het computersysteem en het bereidingsproces aanpast, zijn de gevolgen ernstig.

Wel schuilt er een addertje onder het gras. Wie risico’s accepteert, moet er middels communicatie ook voor zorgen dat stakeholders als klanten en toezichthouders die risico’s accepteren. Dat is de echte uitdaging, aangezien de zogeheten risk appetite steeds kleiner lijkt te worden. Zie de berichtgeving en regelgeving rond datalekken bijvoorbeeld. Niet voor niets maken bijna alle CEO’s (82 procent) zich zorgen over het feit dat binnen de eigen organisatie luchtiger lijkt te worden gedaan over privacy gevoelige informatie dan daarbuiten.

Maar wie zelf risico’s durft te accepteren én stakeholders helpt om hetzelfde te doen, zal niet langer het gevoel hebben dat de cyber security niet op orde is, dat de voordeur op een kier staat.

Cyber Security services

Cyber Security services

Cybersecurity is meer dan reactief technische problemen oplossen.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig

Nieuwe digitale platform van KPMG

KPMG International heeft een state of the art digitaal platform ontwikkeld dat uw digitale ervaring verbetert en het vinden van nieuwe en relevante content optimaliseert.

 
Lees meer