Cybersecuritybesef dringt door bij CFO's

Niet alleen de financiële sector is doelwit van cybercriminaliteit maar ook finance bij bedrijven in alle sectoren. Toenemende professionalisering van aanvallers plus groeiende digitale afhankelijkheid van ondernemingen zorgen ervoor dat cybersecurity hoger op de agenda van CFO's (chief financial officers) komt. De risico's en kosten, maar ook het bedrijfsnut van veilig datagebruik geven cybersecurity meer prioriteit voor CFO's. Dit in tegenstelling tot zo'n drie jaar terug. De financieel topmanager krijgt een nieuwe rol, concludeert executive recruitingbureau Michael Page nu uit eigen interviews met CFO's bij lokale maar ook internationale bedrijven.

Forse schadeposten

De schade van grote digitale inbraken is namelijk fors, blijkt uit onderzoek door het Ponemon Institute in opdracht van IBM. Een gemiddeld security-incident waarbij data wordt gecompromitteerd, kost een organisatie wel 3,86 miljoen dollar. Boven de arbitraire grens van 1 miljoen records bij een data-inbreuk nemen de kosten scherp toe, hoewel zo'n zogeheten mega breach zeldzaam is. Volgens het '2018 Cost of a Data Breach Study' kan de schade oplopen tot 350 miljoen dollar, voor 50 miljoen gecompromitteerde bestanden of gebruikersgegevens.

Een bescheiden breach waarbij 'slechts' 1 miljoen records uitlekken of worden gestolen, heeft een prijskaartje van 40 miljoen dollar, meldt IBM op basis van het onderzoek. Zulke security-incidenten komen veel vaker voor dan de grote dataschendingen, die veel aandacht krijgen. Toch neemt het aantal mega breaches toe: van negen stuks in 2013 tot zestien gevallen in 2017.

Voorheen analyseerde dit Ponemon-onderzoek dan ook kleinere breaches; van 2500 tot 100.000 verloren records. Vanwege het veel kleinere aantal mega breaches ontbrak het aan data voor een gedegen studie daarvan. Naast een groeiend aantal grote gevallen zorgt nieuwe wet- en regelgeving voor meer inzicht. De CFO-gesprekken die Michael Page tot de constatering van een grotere securityrol brengen, belichten niet alleen de verplichtingen van wet- en regelgeving, zoals meldingsplichten en de verstrekkende EU-privacywet AVG.

Uitdijend takenpakket

De vereisten van security bijhouden hebben ook een kostencomponent, waarbij het ook aan de CFO kan zijn om prioriteiten te bepalen of daarin mee te beslissen. De samenwerking met IT-managers of de CIO moet dan ook hecht zijn. De financieel topmanager heeft hierbij meer en meer technologiekennis nodig: hij of zij kan zich niet beperken tot alleen de financiële of juridische aspecten, aldus het CFO Insights Report van Michael Page.

Naast de ICT-component speelt ook nog het menselijke aspect: het grootste securityrisico is veelal niet het IT-systeem zelf maar de manier waarop werknemers het gebruiken. Het inschatten van gedrag, anticiperen daarop én coachend bijsturen daarvan kan ook tot het takenpakket - of in ieder geval het aandachtsgebied - van de CFO horen. Het is hierbij wel de vraag of dit uitdijende bereik aan verantwoordelijkheden en aandachtspunten niet boven het hoofd van de CFO uitgroeit, en of organisaties dus een aparte CSO-rol (chief security officer) moeten beleggen.