Cyberverwaarlozing begint en eindigt in de boardroom

Stel je een hoofdkantoor voor waar de toegang wordt gecontroleerd door automatische poorten en deuren. Directieleden lopen zelfverzekerd naar binnen, swipen hun toegangskaart of tonen hun biometrics om toegang te krijgen tot het gebouw. Ze voelen de waarde van fysieke beveiliging, want ze is tastbaar en biedt gemoedsrust.

iStock-2069203787

Maar als het op digitale veiligheid aankomt, stellen diezelfde leiders vaak niet de juiste vragen over cybersecurity. Waarom? Omdat de bedreigingen onzichtbaar, ongrijpbaar en vaak onderschat zijn — tot het te laat is.

In de hypergeconnecteerde wereld van vandaag zijn digitale activa de kroonjuwelen. Toch behandelen veel executives cyberbeveiliging als een technisch probleem in plaats van een strategische, existentiële kwestie. Die blinde vlek is gevaarlijk.

De hoge belangen van cyberverwaarlozing

De gevolgen van die onderschatting zijn immens. Puur financieel kostten digitale aanvallen de individuele bedrijven naar schatting gemiddeld 4,5 miljoen euro per incident in 2023. Alle inbreuken samen zouden in 2025 kunnen oplopen tot een duizelingwekkende 10 biljoen euro schade voor de wereldeconomie.

Dan zwijgen we nog over het effect op de reputatie en het vertrouwen van klanten, dat moeilijker te kwantificeren is. Spraakmakende aanvallen op bedrijven als LolaLiza, Sony, Maersk, Port of Antwerp en cyber securitydiensten zelf bewijzen dat het risico reëel, groeiend en willekeurig is.

Maersk, bijvoorbeeld, kampte met een ongekende existentiële crisis toen de Russische aanvallen op Oekraïense financiële diensten doorwerkten in hun systemen. Je hoeft niet het doelwit te zijn om de gevolgen te ondervinden. De schade is zelfs vaak zwaarder voor aangrenzende organisaties.

Cyber zal in de nabije toekomst een prominente plaats innemen in elke raad van bestuur. Misschien omdat je organisatie al op weg is naar een hoge cybermaturiteit. Misschien omdat regelgeving zoals de NIS2-richtlijn nieuwe urgentie meebrengt qua compliance. Of misschien omdat een cyberincident vraagt om een directe reactie op het hoogste niveau.

Puur financieel kostten digitale aanvallen de individuele bedrijven naar schatting gemiddeld 4,5 miljoen euro per incident in 2023.
Martin Butler
Professor of Management Practice

Laat ons eens dieper ingaan op de belangrijkste redenen waarom cyberbedreigingen onderschat worden

Het is ontastbaar

Fysieke bedreigingen zijn direct zichtbaar. De digitale variant is moeilijker te vatten. Malware is meestal pas te zien als systemen verlamd zijn. Datalekken blijven vaak maandenlang onder de radar. En ransomware is niet meer dan een woord — totdat een cybercrimineel zijn eisenpakket met vervormde stem door de telefoon sist. Maar het is het gebrek aan zichtbaarheid dat ervoor zorgt dat executives hun cyberbeveiliging voor zich uit blijven schuiven.

Datalekken blijven vaak maandenlang onder de radar. En ransomware is niet meer dan een woord.
Martin Butler
Professor of Management Practice

Gebrek aan ROI

Investeringen in cyberbeveiliging leveren geen direct rendement, dus aandeelhouders lopen er niet makkelijk warm voor. Ze omarmen liever de initiatieven die direct groei of winst creëren. En hoe toon je de waarde aan van een inbreuk die je hebt kunnen vermijden dankzij een degelijk ontwikkelde cyberstrategie?

De kloof tussen IT- en non-IT

Organisaties hebben al decennia moeite om de tastbare waarde van digitale investeringen te meten. Het blijft een actief onderzoeksthema en discussiepunt in raden van bestuur met weinig digitale maturiteit. 

Cyberbeveiliging speelt zich af in de ruimte die vroeger behuisd werd door IT en een kloof met het management. Discussies in de raad van bestuur gaan de mist in als cybersecurity grotendeels blijft steken in puur technische termen of wanneer IT de basis van cyber resilience niet begrijpt.

Onverschilligheid

Er kan een assumptie zijn van “Ons zal het wel niet overkomen.” Organisaties die tot op heden ontsnapt zijn aan grote inbreuken kunnen zich soms onoverwinnelijk voelen. Overmoed kan ook meespelen. Uit ons onderzoek blijkt dat executives vaak hun kennis van cyberbedreigingen of de effectiviteit van hun huidige beveiligingsmaatregelen overschatten.

Hoog tijd om cyber in de raad van bestuur te loodsen

Het kostte tijd en inspanning van beide kanten om de kloof tussen IT en niet-IT leiders weg te werken. Vandaag is dezelfde inspanning vereist voor cyber. CISO’s, CTO’s en CIO’s zullen een shift in hun mindset moeten ondergaan.

Cyberspecialisten moeten de taal van de directie leren spreken. Net zoals de bestuurders niet wakker liggen van één machine aan de lopende band, vinden ze de laatste firewallconfiguratie ook niet interessant. Waar ze wel om malen is succesvolle producten voor de klanten — en ze willen de cijfers zien die dat hard maken. Dus in plaats van door te gaan over technische details, praat je beter over het verlagen van de business risk, verzekerde productie en de service naar klanten toe.

Een van de beste cyberpresentaties die ik heb meegemaakt, was een CISO die 70% van de accounts van een senior publiek hackte de dag voor een meeting. Ja, hij werd bijna ontslagen! Maar hij kreeg wel hun volledige aandacht en sign-off voor acties waar hij al jaren om vroeg. Het gebruik van echte voorbeelden, inclusief de gevolgen, kan wonderen doen. Simuleer cyberaanvalscenario’s tijdens executive meetings om kwetsbaarheden bloot te leggen. Hack desnoods je organisatie om te laten zien wat voor data er kan worden gelekt of welke systemen vatbaar zijn voor sabotage en uitbuiting.

En dit is wat executives moeten doen...

  • Je hebt een Cyber Champion nodig op directieniveau, iemand die  de moeilijke vragen stelt met de woorden en cijfers die het bestuur belangrijk vindt.
  • Maak van cyberbeveiliging een kernonderdeel van de strategische antwoorden en tactische activiteiten van een organisatie. 
  • Meet en track de digital weerbaarheid. Tracking cyber maturity moet een onderdeel zijn van de risk, governance en audit procedures. 
  • Voorzie regelmatig cyber audits. Niemand kijkt ervan op als er jaarlijkse audits van de boekhouding plaatsvinden. We zien dat als een vaste bedrijfskost — het hoort er nu eenmaal bij dat we de zwakke plekken in controlesystemen wille opsporen. Hetzelfde zou de norm moeten worden voor cyberaudits, investeringen in technologie en training, en simulaties om op incidenten te reageren.
Je hebt een Cyber Champion nodig op directieniveau, iemand die de moeilijke vragen stelt met de woorden en cijfers die het bestuur belangrijk vindt.
Martin Butler
Professor of Management Practice

Leid van bovenaf

Senior executives die cyberweerbaarheid hoog op de agenda zetten, stellen een krachtig voorbeeld voor de hele organisatie om cyberbeveiliging strategisch serieus te nemen. Het stimuleert een cultuur van waakzaamheid en verantwoordelijkheid op elk niveau. Omgekeerd sijpelt verwaarlozing van bovenaf naar beneden door, waardoor de organisatie kwetsbaar blijft voor vermijdbare risico’s. Om een weerbaar bedrijf op te bouwen, moet de boardroom het goede voorbeeld geven — want als het leiderschap de toon zet, volgt de rest.

De tijd van onverschilligheid is voorbij. Ofwel maak je er zelf een prioriteit van; ofwel zal een of andere crimineel het voor jou doen. 

Meer info?

Ontdek onze online managementopleiding ‘Cyber Resilience for Business Leaders’ of neem contact op met  Annelies Claeys. Ze beantwoordt met plezier jouw vragen: annelies.claeys@vlerick.com of +32 (0)9 210 98 04.