Innovatie & Strategie

This is a contribution from KPMG
Security
KPMG Cyber Risk

Cyber risks: durft u ze te accepteren?

Iedereen kent het gevoel. U rijdt naar uw werk en denkt: “Heb ik de voordeur eigenlijk wel op slot gedraaid?”

14 november 2016
By: KPMG, partner

Iedereen kent het gevoel. U rijdt naar uw werk en denkt: “Heb ik de voordeur eigenlijk wel op slot gedraaid?”

Precies dat gevoel blijkt het leeuwendeel van alle CEO’s elke dag te hebben als het om cyber risks gaat.

KPMG vroeg ruim duizend bestuursvoorzitters over de hele wereld waarover zij zich het meest zorgen maken. Het antwoord luidt: risico’s op het terrein van cyber security. Het risico om slachtoffer te worden van cyber crime staat zelfs hoger op hun prioriteitenlijstje dan, zeg, het risico om te kiezen voor een  verkeerde strategie of geopolitieke risico’s (denk aan de Brexit). Die grote zorgen rond cyber hebben een hele goede reden. Tweederde van de bestuursvoorzitters stelt dat de eigen organisatie niet volledig is voorbereid op cyber crime. In de ogen van de bestuursvoorzitter wemelt het  van de inbrekers op straat en staat de voordeur op een uitnodigend kiertje. Wat nu?

Infographic KPMG

De grootste fout die CEO’s kunnen maken, is zich bezondigen aan paniekvoetbal – iets wat nog geregeld voorkomt na een cyber incident. Meestal gaat dat zo. Een organisatie wordt slachtoffer van cyber crime. Klantgegevens liggen op straat, bedrijfsgeheimen zijn gestolen, IT-systemen functioneren niet meer, dat werk. In de daaropvolgende paniek worden tientallen techneuten naar binnen gehaald, die de meest ambitieuze programma’s uit de grond stampen tegen astronomische bedragen en waarvan het zeer de vraag is of organisatie en medewerkers ermee uit de voeten kunnen. Reputatie aan diggelen, torenhoge kosten en geen idee of de deur nu wel echt op slot zit.

100 procent = illusie

In plaats van flinke bedragen voor groots opgezette programma’s uit te trekken, is het beter risico’s te analyseren en te managen. Dat begint met de vraag wat u nu eigenlijk wilt beveiligen. Bedrijven kunnen nu eenmaal niet alles beschermen. Honderd procent veiligheid is een illusie, al is het maar doordat de organisatie daarvoor eigenlijk met een ‘clean sheet’ moet beginnen  en de hele IT-structuur opnieuw moet opzetten. Succes, zeker als de organisatie ooit fusies en overnames kende waarbij ook IT moest samengaan. En zelfs al begint een organisatie van voor af aan, dan nog kunnen partnerorganisaties die het niet zo nauw nemen met cyber risks, medewerkers die onvoorzichtig met hun wachtwoord omspringen of cybercriminelen die iets heel nieuws verzinnen roet in het eten gooien.

Deze risk-based benadering helpt om erachter te komen wat je kroonjuwelen zijn, die je optimaal wil beschermen. Zo weet de organisatie precies waarin het gericht moet investeren, wie het moet trainen en welke dreigingen het moet blijven monitoren om uiteindelijk de weerbaarheid te vergroten. Let op: weerbaarheid, niet veiligheid. Veiligheid is per slot van rekening een illusie, het gaat erom wat een organisatie doet als er een cyber incident plaatsheeft.

Rare plaatjes

Uiteindelijk komt het erop neer dat de organisatie bepaalde risico’s afdekt, maar andere risico’s accepteert. Erg? Nee, als iemand een marketingsite voor babyvoeding hackt en voorziet van rare plaatjes of teksten, is er niet zoveel aan de hand. Pas als iemand inbreekt in het computersysteem en het bereidingsproces aanpast, zijn de gevolgen ernstig.

Wel schuilt er een addertje onder het gras. Wie risico’s accepteert, moet er middels communicatie ook voor zorgen dat stakeholders als klanten en toezichthouders die risico’s accepteren. Dat is de echte uitdaging, aangezien de zogeheten risk appetite steeds kleiner lijkt te worden. Zie de berichtgeving en regelgeving rond datalekken bijvoorbeeld. Niet voor niets maken bijna alle CEO’s (82 procent) zich zorgen over het feit dat binnen de eigen organisatie luchtiger lijkt te worden gedaan over privacy gevoelige informatie dan daarbuiten.

Maar wie zelf risico’s durft te accepteren én stakeholders helpt om hetzelfde te doen, zal niet langer het gevoel hebben dat de cyber security niet op orde is, dat de voordeur op een kier staat.

Hermans. John
John Hermans
partner
KPMG Cyber

Reactie toevoegen