De cfo heeft het onderwerp cybersecurity steeds hoger op de bestuurlijke agenda staan. 38 procent beschouwt cybersecurity in hoge tot zeer hoge mate als een organisatiethema. Dit blijkt uit de veertiende CFO Survey van adviesbureau Deloitte. Wel ziet ook nog 36 procent van de respondenten cybersecurity puur als een it-probleem, een kwart kiest voor de middenweg. Verder geeft de cfo de eigen organisatie gemiddeld een 6,8 als rapportcijfer als het gaat om hoe cyber secure de eigen organisatie is.
'In de praktijk zien we dat organisaties zich steeds bewuster zijn van de cyberrisico's, dit blijkt ook uit deze cijfers', zegt Jacques Buith, partner bij Deloitte Risk Services. 'Maar er is nog wel een weg te gaan. Zo is het rapportcijfer van een 6,8 op zich een voldoende, maar zou in de praktijk hoger moeten zijn om daadwerkelijk goed voorbereid te zijn op een cyberaanval. Ook wet- en regelgeving is hierbij niet toereikend om tot een oplossing te komen. Organisaties voldoen dan wel aan de regels, maar niet meer dan dat. Dan kom je dus uit op een 6. Perfecte beveiliging bestaat niet, maar een 9 moet het streven zijn.'
Impact
Het oplopen van reputatieschade als gevolg van cybercrime wordt door een derde van de cfo's gezien als de grootste bedreiging voor de onderneming. Ook de impact van reputatieschade op de waarde van de organisatie schat 71 procent als hoog tot zeer hoog in. De impact van omzetverlies op de waarde van de onderneming schat slechts 16 procent hoog tot zeer hoog in.
'De ondernemingen maken zich terecht zorgen over de impact van reputatieschade op de waarde van de onderneming als gevolg van een cyberaanval', aldus Buith. 'Dit blijkt ook uit de talloze voorbeelden van bedrijven die onlangs in de media kwamen naar aanleiding van een lek in de it-beveiliging en waarbij de reputatie behoorlijk op het spel kwam te staan. Hoewel een organisatie nooit kan voorkomen slachtoffer te worden van een cyberaanval, kan zij er wel alles aan doen om de risico's te beperken en zo snel mogelijk te herstellen. De gehele organisatie moet hierin verantwoordelijkheid nemen en kan niet afhangen van de it-afdeling alleen.'