De Cyber Security Health Check die 11 september jongstleden geïntroduceerd is, vormt een uitstekend middel voor de accountant om de dialoog met bestuurders van middelgrote ondernemingen aan te gaan.
De checklist vormt een goed startpunt voor een gesprek dat de accountant kan en moet hebben over de status van de cyberbeveiliging binnen de onderneming. Door de discussie met het bedrijf op basis van een aantal duidelijke ijkpunten aan te gaan ontstaat een goed beeld van de digitale weerbaarheid van het bedrijf, het vermogen om te incasseren én om snel te kunnen reageren op calamiteiten.
“En dat is essentieel”, zegt Cyber Lead Partner John Hermans die namens KPMG mede vorm heeft gegeven aan de checklist. “Hermans: “In de huidige digitale wereld is het immers niet de vraag of een organisatie te maken krijgt met een cyberincident, maar wanneer. Actie ondernemen om de kans op een incident te verkleinen, is daarom niet voldoende. Maatregelen om de aanval snel te detecteren en hier vlot op te reageren, zijn even belangrijk. Dit helpt namelijk om de impact van de aanval zo klein mogelijk te houden.
Accountants kunnen een belangrijke bijdrage leveren aan de bewustwording in de organisatie ten aanzien van digitale risico’s. Voor hen biedt de health check handvatten om het gesprek over cybersecurity aan te gaan. De accountant is immers wettelijk verplicht een oordeel te vellen over de betrouwbaarheid en de continuïteit van de ICT-systemen in een organisatie.”
Vijf domeinen
De checklist geeft ondernemingen concreet inzicht in de staat van hun cyberbeveiliging en helpt om de weerbaarheid op basis van een vijftal domeinen in kaart te brengen, identificatie, bescherming, detectie, reactie en herstel.
Hermans: “Van het vaststellen van de digitale kroonjuwelen, het inventariseren van de risico’s tot aan het inrichten van back-upvoorzieningen en een herstelplan om zo snel mogelijk weer up en running te zijn. Daarmee laat het instrument zien dat cybersecurity geen eenmalige exercitie is. De health check is niet enkel bedoeld om achterstallig onderhoud aan te pakken. Juist als organisaties regelmatig de check uitvoeren, kan hun beveiliging continu op hoog niveau blijven. Dat is noodzakelijk om zowel organisaties zelf als de BV Nederland een digitale voorsprong te geven.
Toch doet Nederland het vergeleken met andere landen helemaal niet slecht als het gaat om cyberveiligheid. In Nederland is cyberveiligheid bij grotere bedrijven veel vaker in de bestuurskamer belegd dan in het buitenland. De aandacht die de Nederlandse overheid nu al een aantal jaren besteedt aan cyberveiligheid heeft zijn uitwerking op het Nederlandse bedrijfsleven duidelijk niet gemist. Nu is het zaak dat ook de middelgrote bedrijven overtuigd raken van het belang van gedegen cyberbeveiliging.”
Meest onvoorspelbare risico
Cybercrime is volgens Hermans het meest onvoorspelbare risico waarmee bedrijven geconfronteerd worden. Hermans: “In het algemeen vormt informatiebeveiliging al een aanzienlijk probleem voor bedrijven. De invloed van cyber gaat het veel ondernemingen echter nog veel lastiger maken omdat alles en iedereen in toenemende mate via het internet verbonden zal zijn. Cybercrime kan en moet niet langer worden gezien als een puur technologische kwestie. Cybercrime is uitgegroeid tot een politiek, een economisch én een maatschappelijk vraagstuk.”
Bron: KPMG