“Wij helpen dagelijks bedrijven die slachtoffer zijn geworden van cybercriminelen”, vertelt Talitha Papelard. “Zo zien we wat er mis gaat. In vrijwel alle gevallen zien we dat criminelen hebben kunnen toeslaan omdat een bestuurlijke visie ontbreekt. Organisaties hebben vaak wel iets geregeld. Ze maken bijvoorbeeld back-ups en zorgen ervoor dat privacygevoelige gegevens goed beschermd zijn. Maar omdat er geen holistische aanpak is, worden er ook essentiële onderdelen vergeten. Daardoor is het voor criminelen bijvoorbeeld eenvoudig om het primaire proces weken of soms maandenlang stil te leggen. Dit heeft niet alleen grote financiële gevolgen. Het is ook desastreus voor de reputatie van een organisatie. In veel organisaties is het de financieel bestuurder, de CFO, die de eindverantwoordelijkheid draagt om de onderneming zo goed als mogelijk tegen deze risico’s te beschermen. Als je die bestuurlijke verantwoordelijkheid hebt, dan wil je in control zijn.”

Talitha Papelard, Directeur Security Office bij Northwave

Waarom kun je dit als bestuurder dan niet overlaten aan een afdeling IT?

“Omdat het haaks staat op je bestuurlijke verantwoordelijkheid. Natuurlijk is de IT beveiliging een belangrijk onderdeel in de bescherming van het bedrijf. Dat kun je aan de IT’ers overlaten, mits je er ook voor zorgt dat je regelmatig controleert of de IT security maatregelen ook echt werken. Maar er is hoe dan ook meer nodig om gewapend te zijn tegen de dreigingen van dit moment. Je kunt data beter beveiligen door er organisatorisch anders mee om te gaan, beter beleid te implementeren en plannen te maken en te oefenen voor als het misgaat. Daarbij zijn je mensen de belangrijkste schakel; zij zijn het die alert, actief en adequaat moeten kunnen en durven reageren als er iets niet in de haak is. En van al die maatregelen samen wil je regelmatig de werking vaststellen. Dat vraagt om een zelfstandige functie binnen je organisatie, die los staat en onafhankelijk is van alle andere onderdelen. Als je begrijpt wat er allemaal nodig is voor een slimme security operatie die 24 uur per dag paraat is, dan kom je tot de conclusie dat zelf doen niet kan.”

En hoe zit het met de cyberkennis van de gemiddelde bestuurder?

“CFO’s begrijpen financieel management en kwaliteitsmanagement heel goed. Wij bieden hen een vierogenprincipe waarbij ze voor de inhoud samenwerken met een onafhankelijke deskundige partner die op bestuurlijk niveau met hen meedenkt, terwijl we een aantal essentiële operationele processen in stand houden: die van het permanent bewaken van IT, het permanent beheersen van de cyber risico’s en het permanent trainen en begeleiden van medewerkers. Zo is er altijd real time inzicht in risico’s en kwaliteit van maatregelen en worden bedreigingen en incidenten 24 uur per dag gezien en behandeld. Met ons aan hun zijde kan een directie weloverwogen de juiste beslissingen blijven nemen, wat de dynamiek in het bedrijf en de bedreiging ook is.”

Tot slot, spreek je ook wel eens bestuurders die zich niet realiseren hoeveel impact een cyberaanval kan hebben op hun organisatie?

“Door alle berichten in de media zijn bestuurders zich wel gaan realiseren dat cyberrisico’s tot de belangrijkste bedreigingen behoren. Dit blijkt ook keer op keer uit allerlei onderzoeken, bijvoorbeeld van het World Economic Forum. Toch hoor ik de top van een onderneming na een incident vrijwel altijd zeggen ‘We hadden het heus wel over beveiliging in de bestuurskamer, maar we hadden nooit gedacht dat dit zo heftig zou zijn.’ Kennelijk leveren de krantenkoppen dan toch nog steeds vooral een ‘dat zal bij ons wel loslopen’ gevoel op. Ik zie het daarom als mijn persoonlijke missie om deze kritische vragen aan CFO’s te blijven stellen.” 

Neem contact op

Ga naar https://northwave-security.com/in-gesprek-met-talitha/