CISO heeft rol als deskundig adviseur
Waarom CFO’s zich zorgen moeten maken over cybersecurity
CFO moet uitgaven cybersecurity kunnen verdedigen in de board
door Daan Keuper, beeld Shutterstock
Cybersecurity is niet het eerste waar je aan denkt bij het aandachtsgebied van een CFO. Toch hoort dit wel degelijk bij de verantwoordelijkheden van deze functie.
Met de toenemende cyberrisico’s is cybersercurity één van de belangrijkste onderwerpen waarmee een CFO zich moet bezighouden. Hij/ zij is namelijk niet alleen verantwoordelijk voor het beperken van de financiële risico’s van de organisatie, maar zelfs hoofdelijk aansprakelijk als er schade ontstaat door een cyberaanval.
Bij veel organisaties ligt de formele verantwoordelijkheid voor cybersecurity bij de CISO. Bij een cyberincident kijkt de hele organisatie dan ook al snel naar de CISO, die immers inhoudelijk ook de meeste kennis heeft. Veel zaken rond cybersecurity hebben echter een sterk financieel aspect en vragen dus om bepaalde beslissingen waarvoor een CISO geen bevoegdheid heeft. Zo brengen cyberrisico’s verschillende operationele en juridische kosten met zich mee. Hoeveel budget is er beschikbaar om de juiste maatregelen te treffen tegen de risico’s? Moet er bijvoorbeeld een ransomwareverzekering afgesloten worden en zo ja, voor hoeveel?
Hoeveel budget is er voor maatregelen?
En als de organisatie daadwerkelijk wordt getroffen, moet een keuze worden gemaakt welke systemen en processen cruciaal zijn zodat deze als eerste kunnen worden hersteld. De CFO moet inzicht hebben in de kosten voor de downtime en het herstel en hier de juiste beslissingen kunnen nemen.
Verder moet bij een ransomwareaanval besloten worden of er wordt ingegaan op de eis voor losgeld om de controle terug te krijgen over de systemen en data. En als dit antwoord ‘ja’ is, hoeveel financiële ruimte is er dan? Dit zijn allemaal zaken waarvoor het mandaat van de CFO nodig is, maar waar deze persoon doorgaans geen diepgaande inhoudelijke kennis van heeft.
Sleutelrol voor de CISO
Hoe gaat een CFO nu effectief om met cyberrisico’s en de daaraan verbonden beslissingen? De CISO speelt hierbij een sleutelrol. Deze zou als inhoudelijk deskundige de CFO moeten adviseren over de risico’s, de te nemen maatregelen en de bijbehorende kosten.
Steun hele bedrijf nodig
Het is belangrijk dat de board zich realiseert dat cybersecurity niet alleen de CISO, de CFO en hun afdelingen aangaat, maar de hele organisatie. Als er een incident is, is ondersteuning van het hele bedrijf nodig. Zo moet de afdeling contractbeheer inzicht kunnen geven in de leveringsverplichtingen van de organisatie voor iedere individuele klant en welke klanten gewaarschuwd moeten worden dat hier (voorlopig) niet aan kan worden voldaan. Deze informatie weegt ook in belangrijke mate mee bij het stellen van prioriteiten in het herstellen van systemen. Verder moet HR weten wat aan de medewerkers gecommuniceerd kan worden en is de communicatieafdeling belangrijk om te bepalen wat de juiste boodschap is richting klanten en partners.
De CISO kan de CFO dus van de benodigde informatie voorzien om cyberrisico's te beperken. Dit zijn doorgaans niet twee functies die elkaar logischerwijs opzoeken en dezelfde taal spreken. Voor een CFO is het echter wel zaak hierin te investeren en niet alleen vanuit de verantwoordelijkheid voor risico’s. Met de juiste informatie en achtergronden kunnen beslissingen en uitgaven voor cybersecurity immers ook verdedigd worden in de boardroom.
Om nog beter inzichtelijk te maken bij de board dat cybersecurity impact heeft op de hele organisatie kan de CFO het ook koppelen aan doelstellingen of performance van de organisatie. Security gaat namelijk grotendeels over continuïteit van de business.
Ook mentale impact
Het is duidelijk dat er met de verantwoordelijkheid voor cybersecurity veel beslissingen op een CFO afkomen, zeker als er een cyberincident plaatsvindt. Pas dan realiseert men zich ook vaak welke lastige keuzes er gemaakt moeten worden en tot hoe ver de verantwoordelijkheid van de functie eigenlijk strekt. Dit heeft niet alleen materiële maar ook mentale impact. Zorg daarom dat de CFO zo goed mogelijk is voorbereid en kan bouwen op een CISO met diepgaande inhoudelijke kennis. Hiermee wordt de verantwoordelijkheid niet minder, maar wel beter te dragen.
Daan Keuper is security-expert, ethical hacker en hoofd van Sector 7, de research-divisie van Computest. Hij won drie keer de internationale hackcompetitie Pwn2Own door Zoom te hacken, een iPhone 4S te kraken en kwetsbaarheden in industriële systemen aan te tonen.