Cyberveiligheid is onzichtbaar fundament moderne organisatie

Anthony Kruizinga Partner, Risk & Regulation lead, PwC Netherlands 11/03/21

Groei cyberdreigingen vraagt om investeringen in mensen en systemen

Wereldwijd zien CEO’s cyberdreigingen als het grootste gevaar voor de stabiliteit en het succes van hun organisaties. Dat blijkt uit PwC’s 24e CEO Survey. Die uitkomst verbaast me niets en eigenlijk ben ik blij dat cybercrime bovenaan het lijstje van zorgen van de CEO’s staat. Ik denk namelijk al jaren dat een volgende systeemcrisis wel eens een ‘cybercrisis’ kan zijn. Covid-19 is er nu tussendoor gekomen, maar ik kan me goed voorstellen dat de volgende grote crisis opnieuw geen economische aanleiding kent.

CEO's onderkennen de gevaren, maar hoe te reageren?

Daarmee wil ik niet zeggen dat bedrijven en hun CEO’s digitale ontwikkelingen onderschatten. Integendeel, de CEO Survey laat zien dat CEO's de gevaren onderkennen en beseffen dat ze in actie moeten komen. Maar ik denk dat veel CEO’s het zicht op de voortsnellende technologische innovatie kwijt zijn en niet precies weten hoe ze moeten reageren om hun organisaties te beschermen.

Grote behoefte aan gekwalificeerde cyberspecialisten

Er is bij veel organisaties een grote behoefte aan gekwalificeerde mensen op dit gebied. Specialisten die begrijpen hoe cybercriminelen te werk gaan, die voorbij silo’s binnen de organisatie kunnen kijken en die met behulp van innovatieve techniek en tools cyberaanvallen kunnen detecteren en bestrijden. Goed om te lezen dat CEO’s de beschikbaarheid van belangrijke vaardigheden als tweede in het rijtje zorgen en bedreigingen voor hun organisaties noemen. Ik ben het daar zeker mee eens.

Helaas is het aantal mensen met de gewenste vaardigheden momenteel (nog) beperkt. En degenen die deze ‘skills’ wel hebben, werken vaak bij grote, tot de verbeelding sprekende platforms als Google en Amazon en niet op de risicoafdelingen van bijvoorbeeld banken of energiebedrijven. Daar moet qua ‘upskilling’ dus nog veel gebeuren. En cybercriminelen zitten ondertussen niet stil.

Een volgende crisis kan wel eens een cybercrisis zijn

De coronacrisis en het gedwongen op afstand werken helpen niet om de cybersecurity van organisaties te verbeteren. Terwijl het risico tegelijkertijd juist is toegenomen. Leidinggevenden verliezen hun mensen deels uit het oog en de binding tussen mensen en het bedrijf waarvoor ze werken wordt dunner. Hierdoor kan de kans op fouten en de betrokkenheid bij fraude of zelfs cyberaanvallen toenemen.

Dit zijn potentieel ingrediënten voor een gevaarlijke cocktail, die naar mijn idee kan leiden tot een grote cybercrisis. Dan heb ik het niet alleen over het stelen van spaarcenten door cybercriminelen, maar ook over bijvoorbeeld het platleggen van financiële systemen voor betalingsverkeer of over het doelgericht uitschakelen van de faciliteiten van energiebedrijven. Tegen een dergelijke dreiging zijn bedrijven en instanties momenteel onvoldoende beschermd.

Vier adviezen voor CEO's

Met het oog hierop raad ik CEO’s aan het volgende te doen:

  • Investeer in uw IT- en cybersecurity-afdelingen

Investeringen lijken voor de hand liggend, maar nog te vaak zie ik dat er alleen voor het hoognodige is gekozen. Bij sommige banken zitten er dan bijvoorbeeld honderd mensen op kredietrisico en slechts een handjevol op cyberrisico. En die moeten het opnemen tegen bendes cybercriminelen die de hele dag niets anders doen dan hacken. Met de druk om kosten te besparen in het achterhoofd betekent investeren keuzes maken. Wees niet bang de fundamentele principes van risicomanagement te heroverwegen, zodat u nieuwe risico’s voortkomend uit cyber en technologie kunt bijbenen.

  • Investeer in uw mensen

Naast het aantrekken van nieuwe mensen met een achtergrond in coderen, IT-architectuur, cybercriminaliteit en psychologie, is het belangrijk dat u uw huidige medewerkers bij- of omschoolt als het gaat om ‘harde’ technische skills en expertise. Maar ook om te zorgen dat ze een andere ‘mindset’ ontwikkelen, zodat u meer aan toekomstbestendig risicomanagement kunt doen. De huidige tijd vraagt om mensen die kunnen omgaan met complexiteit en onzekerheid. Mensen die de hele waardeketen van een bedrijf begrijpen en adequaat kunnen reageren op incidenten en eventuele aanvallen.

  • Kijk verder dan de grenzen van uw organisatie

Het is niet alleen belangrijk dat uw eigen systemen goed zijn beveiligd, maar ook die van uw leveranciers en van de bedrijven waarmee u samenwerkt. Hackers proberen steeds vaker via deze omweg bij grote ondernemingen binnen te komen. Verdiep u in het ecosysteem waarbinnen u opereert en werk alleen samen met organisaties die hun beveiliging ook op orde hebben.

  • Houd de menselijke kant in de gaten

De toenemende inzet van technologie vormt een gevaar voor de bedrijfscultuur. Voor de coronacrisis was al duidelijk dat organisaties beter hun best moeten doen om de menselijke dimensie in stand te houden. De pandemie, het thuiswerken en de toenemende gevoelsmatige afstand tussen organisaties en hun medewerkers benadrukken die noodzaak nog maar eens. Zeker in deze tijd is het dan ook belangrijk dat sprake blijft van een goede cultuur voor cybersecurity. Blijf het bewustzijn van uw mensen rondom cyberrisico’s stimuleren en vergroten.

CEO’s versnellen digitalisering, maar zien ook risico’s

De Covid-19-crisis spoort CEO’s aan hun digitale transformatie te versnellen. Maar liefst 76 procent van de respondenten zegt de komende drie jaar de investeringen in digitale transformatie te verhogen, van wie 48 procent van plan is dat fors meer te doen. 

Tegelijkertijd maken ze zich zorgen over de risico’s van de digitale wereld. Dat zien we terug in het risicomanagement. Op de vraag welke bedreigingen expliciet zijn opgenomen in het risicomanagement werden cyberdreigingen het vaakst genoemd.

Lees meer >

Contact

Anthony Kruizinga

Anthony Kruizinga

Partner, Risk & Regulation lead, PwC Netherlands

Tel: +31 (0)61 308 76 37

Volg ons