Management
Waarom CFO’s zich zorgen moeten maken over cybersecurity
4 adviezen voor een effectieve aanpak van risico’s.
4 adviezen voor een effectieve aanpak van risico’s.
Cybersecurity zal niet het eerste zijn waar je aan denkt bij het aandachtsgebied van een CFO. Toch hoort dit wel degelijk bij de verantwoordelijkheden van deze functie. Sterker nog, met de toenemende cyberrisico’s is het één van de belangrijkste onderwerpen waar een CFO zich mee moet bezighouden, ziet Daan Keuper. Hoe kan de CFO dat aanpakken?
De CFO is niet alleen verantwoordelijk voor het beperken van de financiële risico’s van de organisatie, maar zelfs hoofdelijk aansprakelijk als er schade ontstaat door een cyberaanval.
Bij veel organisaties ligt de formele verantwoordelijkheid voor cybersecurity bij de CISO. Bij een cyberincident kijkt de hele organisatie al snel naar deze persoon, die inhoudelijk ook de meeste kennis heeft. Dit lijkt logisch, maar veel zaken rond cybersecurity hebben een sterk financieel aspect en vragen dus om bepaalde beslissingen waarvoor een CISO geen bevoegdheid heeft. Zo brengen cyberrisico’s verschillende operationele en juridische kosten met zich mee. Hoeveel budget is er beschikbaar om de juiste maatregelen te treffen tegen de risico’s? Moet er bijvoorbeeld een ransomwareverzekering worden afgesloten en zo ja, voor hoeveel?
Wordt de organisatie daadwerkelijk getroffen, dan moet een keuze worden gemaakt welke systemen en processen cruciaal zijn zodat deze als eerste kunnen worden hersteld. De CFO moet inzicht hebben in de kosten voor de downtime en het herstel, en de juiste beslissingen kunnen nemen. Zo kunnen er twee productielijnen plat liggen, waarbij de downtime respectievelijk 100.000 euro en 150.000 euro per dag kost. Op basis van onder meer financiële data moet de CFO beslissen welke lijn prioriteit krijgt bij het herstel. Verder moet in het geval van een ransomware-aanval worden besloten of er wordt ingegaan op de eis voor losgeld om de controle terug te krijgen over de systemen en data. En als dit antwoord ‘ja’ is, hoeveel financiële ruimte is er dan? Dit zijn allemaal zaken waarvoor het mandaat van de CFO nodig is, maar doorgaans ontbreekt de diepgaande inhoudelijke kennis.
Sleutelrol voor de CISO
Hoe gaat een CFO effectief om met cyberrisico’s en de daaraan verbonden beslissingen? De CISO speelt hierbij een sleutelrol. Deze zou als inhoudelijk deskundige de CFO moeten adviseren over de risico’s, maatregelen en kosten. Bijvoorbeeld: het risico dat onze organisatie wordt getroffen door een ransomware-aanval is X, het zou Y kosten als we daadwerkelijk getroffen worden en ik stel voor om deze maatregelen te treffen om het risico naar een acceptabel niveau te krijgen.
De CISO kan de CFO dus van informatie voorzien om cyberrisico's te beperken. Doorgaans zoeken deze twee functies elkaar niet logischerwijs op, ze spreken niet dezelfde taal. Voor een CFO is het zaak hierin te investeren. Niet alleen vanuit de verantwoordelijkheid voor risico’s, maar met de juiste informatie en achtergronden kunnen beslissingen en uitgaven voor cybersecurity immers ook worden verdedigd in de boardroom.
Security raakt hele organisatie
Het is ook belangrijk dat de board zich realiseert dat cybersecurity niet alleen de CISO, de CFO en hun afdelingen aangaat, maar de hele organisatie. Bij een incident is ondersteuning van het hele bedrijf nodig. Zo moet de afdeling contractbeheer inzicht kunnen geven in de leveringsverplichtingen van de organisatie voor iedere individuele klant en weten welke klanten moeten worden gewaarschuwd dat hier (voorlopig) niet aan wordt voldaan. Deze informatie weegt in belangrijke mate mee bij het stellen van prioriteiten bij het herstellen van systemen. Verder moet HR weten wat aan de medewerkers kan worden gecommuniceerd en is de communicatieafdeling belangrijk om te bepalen wat de juiste boodschap is richting klanten en partners.
Continuïteit
Om inzichtelijk te maken bij de board dat cybersecurity impact heeft op de hele organisatie, kan de CFO het ook koppelen aan doelstellingen of performance van de organisatie. Security gaat namelijk grotendeels over continuïteit van de business. Voor een klant is de reden dat er niet geleverd kan worden van secundair belang, of het nu gaat om personeelstekort, een verstoorde supply chain door COVID-19 of een hack. Door een goede voorbereiding kan die continuïteit beter geborgd worden en heeft het bedrijf zelfs een streepje voor op concurrenten, als het in geval van een incident snel weer operationeel is.
Met de verantwoordelijkheid voor cybersecurity komen veel beslissingen op een CFO af, zeker als er een cyberincident plaatsvindt. Pas dan realiseert men zich ook welke lastige keuzes er moeten worden gemaakt en tot hoe ver de verantwoordelijkheid van de functie eigenlijk strekt. Dit heeft niet alleen materiële maar ook mentale impact. Zorg daarom dat de CFO zo goed mogelijk is voorbereid en kan bouwen op een CISO met diepgaande inhoudelijke kennis. Hiermee wordt de verantwoordelijkheid niet minder, maar wel beter te dragen.
Met onderstaande adviezen kan de CFO een goede basis kan leggen voor een effectieve aanpak van cyberrisico’s.
- Ken de cyberrisico’s
Zorg ervoor dat je je bewust bent van de huidige cybersecurityrisico’s van je bedrijf. De CISO zou hier in ieder geval wekelijks een update over kunnen geven. Met inzicht in de risico’s wordt ook duidelijk waar de zwakke plekken liggen en welke maatregelen er genomen moeten worden. Zo weet je ook zeker dat je op de juiste manier in security investeert. - Maak cybersecurity onderwerp van board meetings
Zet cybersecurity regelmatig op de agenda van boardmeetings, om de rest van de board te informeren over de huidige dreigingen en risico’s. Met een regelmatige update houd je hen betrokken en gaat het onderwerp meer leven. Ook krijgen zij beter inzicht in de reële en concrete dreigingen die er zijn, waardoor cybersecurity meer urgentie krijgt. - Houd regelmatig een crisisoefening
Security is niet alleen een IT-probleem, het raakt je hele organisatie. Door een goede voorbereiding en alle verschillende facetten en situaties die een aanval mogelijk met zich meebrengt regelmatig te oefenen, onderzoek je je weerbaarheid en kun je tijdens een incident sneller en effectiever reageren. Een cyberaanval moet je zien als een crisissituatie. En net als bij een BHV-oefening is hierbij een goede voorbereiding het halve werk en kan dit bovendien helpen de schade te beperken.
- Zorg voor een mix van security-maatregelen
Zet in je beleid niet enkel in op het voorkomen van incidenten, maar zorg voor een mix van maatregelen, ook op het vlak van detectie en respons. Het volledig voorkomen van incidenten is vrijwel onmogelijk. Daarom is het raadzaam niet alleen te investeren in preventie, maar ook in detectie. Hierbij kun je denken aan simpele maatregelen zoals het ontvangen van een notificatie als er een nieuwe admin wordt aangemaakt of een melding als een virusscanner iets heeft gedetecteerd op een laptop van een medewerker. Ook kun je uiteraard inzetten op meer uitgebreide bescherming, zoals continue detectie door een abonnement op een SOC (Security Operations Center).
Dit artikel is ook gepubliceerd in het magazine van AG Connect (nummer 2 - 2023). Wil je alle artikelen uit dit nummer lezen, bekijk dan de inhoudsopgave.
is security-expert, ethical hacker en hoofd van Sector 7, de research-divisie van Computest. Hij won drie keer de internationale hackcompetitie Pwn2Own door Zoom te hacken, een iPhone 4S te kraken en kwetsbaarheden in industriële systemen aan te tonen.