Het recente voorval van ransomware bij brouwerij Duvel Moortgat is nogmaals een wake-up call om cybersecurity hoog op de agenda te plaatsen. Met Cindy Smeulders en Talitha Papelard van Northwave gingen we dieper in op het thema tijdens een masterclass op CFO Day. What’s in it voor de CFO?
Het moet je maar overkomen… en toch gebeuren pogingen om bedrijven te hacken aan de lopende band. Cindy Smeulders werkt sinds begin dit jaar bij cybersecurity-specialist Northwave. Met haar ruime ervaring bij onder meer de Belgische politie en de Belgische militaire inlichtingendienst weet ze dat voor cybercriminelen elk bedrijf een potentiële bron van inkomsten is.
Cindy wijst erop dat CFO’s (bijna) altijd betrokken worden tijdens cyberaanvallen en dat ze zo meebeslissen over de eerste stappen. Want wat doe je: medewerkers naar huis sturen? Onderhandelen met cybercriminelen? Betalen? De stekkers uittrekken? In-house afhandelen of met een externe partner werken? Cindy heeft het al snel over het belang voor de CFO om ervoor te zorgen dat de verantwoordelijkheid voor informatiebeveiliging breed gedragen wordt in de organisatie, omdat het bedrijf tijdens een aanval diverse vormen van schade kan oplopen:
Cindy legt uit dat er in een cyberaanval over het algemeen drie parallelle fasen zijn, ‘in, through en out’:
“Hoe vroeger in het proces u de aanval kan detecteren en ingrijpen, hoe vroeger u het kan stoppen, hoe korter de duur en de impact op uw bedrijf zal zijn,” zegt Cindy. “Daarom is het belangrijk rust in de chaos te brengen. Bij Northwave zijn we daarin gespecialiseerd: we interageren met uw verschillende teams en contacteren de cybercriminelen. Om de onderneming zo snel mogelijk terug operationeel te krijgen, zijn twee stappen cruciaal: ten eerste de meest kritische diensten zo snel mogelijk terug online brengen, ten tweede het gat dichten waarlangs de aanvallers zijn binnengedrongen.”
Talitha Papelard, nóg een bekendheid binnen het cybersecurity-domein en General Manager voor de Benelux bij Northwave, benadrukt dat een CFO niet hoeft wakker te liggen van cyberaanvallen: “Een CFO hoeft er niet alleen voor te staan. Het is wel belangrijk dat men de nodige sensoren aanzet: zowel op het vlak van systemen als op het vlak van mensen. Een van de belangrijkste factoren voor een effectieve cyberveiligheid is een degelijke meldcultuur binnen het bedrijf. Hoe meer kans er is dat de mensen iets melden, hoe sneller men kan ingrijpen. Je kan uiteraard niet alles voorkomen, maar je kan er wel mee voor zorgen dat alles snel weer business as usual wordt.”
Een van de belangrijkste factoren voor een effectieve cyberveiligheid is een degelijke meldcultuur binnen het bedrijf.
Talitha benadrukt het huiswerk dat elke organisatie moet doen om cyberaanvallen te helpen voorkomen, of om ze snel te kunnen aanpakken. Waar zitten de risico’s? Waar ligt de kwetsbaarheid? “Als men dat in kaart kan brengen, staat men al ver want de grip op cybersecurity begint bij het bedrijf zelf. Ik pleit ook voor een rapporteringslijn tussen de board en de persoon die de verantwoordelijkheid voor cybersecurity op zich neemt”, besluit ze.
De aanwezige CFO’s werden tijdens de masterclass opgedeeld in groepjes om volgende vragen en stellingen te bespreken:
We vingen gesprekken op over bedrijven waar de verantwoordelijkheid nog grotendeels bij IT ligt; over cybersecurity-training aangepast aan het risico waaraan medewerkers worden blootgesteld; over het regelmatig werken met hackers om up-to-date te blijven over de recentste hackingtechnieken; en over policies om zowel voor fysieke als voor digitale veiligheid te zorgen. Er zijn ook bedrijven met bonussystemen waar meldingen in verwerkt zitten, en o wee: we hoorden dat paswoorden nog al te vaak gedeeld worden.
Tijdens de debriefing komen volgende krachtlijnen aan bod:
“In België wordt nog te veel gekeken naar de IT-afdeling als er iets gebeurt, terwijl IT slechts een partner is”, aldus Talitha. “Misschien is er nog niet genoeg openheid over het onderwerp. Het zou goed zijn om transparanter te zijn over de beveiligingsmaatregelen, en dat op een positieve manier. In België merk ik ook nog te vaak dat men denkt: ‘ons zal het niet overkomen’. U moet wel echt uw basiszaken op orde hebben want als een hacker bij de buren niet binnenraakt, dan is de kans groot dat hij het bij u probeert.”
Als een hacker bij de buren niet binnenraakt, dan is de kans groot dat hij het bij u probeert.
Cindy eindigde de masterclass met een kwinkslag: “Schrijf plannen maar test ze vooral in de praktijk. En zet uw plannen niet alleen op uw PC.”
Northwave was partner van de CFO Day 2024.
Met een gezellig beperkt publiek doken we tijdens een rondetafel op het Executive Forum in een onderwerp dat om aandacht vraagt: waar is de plaats van de CIO vis-à-vis de CFO in een dynamische en snel veranderende markt, en hoe werken ze samen om concurrentievoordeel voor het bedrijf te behouden? Het gesprek bracht ons tot vijf observaties waarop onze deelnemers gretig inpikten.
Wilt u weten hoe het eraan toe gaat op de conferenties van House of Executives? Dankzij deze video proeft u de sfeer. Wees er de volgende keer gewoon bij!