Cybermisdaad: wat is erger, verlies van gegevens of vertrouwen?

Door

EY Global

Multidisciplinaire organisatie voor zakelijke diensten

5 minuten leestijd 9 apr 2019

Toon resources

Een cyberaanval kan ervoor zorgen dat het vertrouwen in uw organisatie flink daalt. Om dit vertrouwen te waarborgen of terug te winnen, heeft u cyberstrategieën nodig die uw organisatie beschermen, optimaliseren en mogelijkheden bieden.

Nieuwe technologieën maken financiële dienstverleners nog kwetsbaarder. Cybersecurity bevordert innovatie en verandering, maar de constante impact van cyberaanvallen dreigt het vertrouwen in veel instanties aan te tasten. En veel organisaties zitten nog niet op het benodigde niveau van cyberveerkracht en -beveiliging om het vertrouwen van klanten en stakeholders te waarborgen of terug te winnen.

In de laatste jaren heeft het vertrouwen van de maatschappij in grote organisaties een knauw gekregen. Dit wordt nog eens versterkt door macro- en geopolitieke trends en punten van zorg met betrekking tot gegevensprivacy en cyberbeveiliging. Naarmate klanten meer gegevens verstrekken, wordt het duurder voor bedrijven om die gegevens te beschermen. Dit heeft niet alleen directe invloed op de bedrijfsvoering, maar brengt ook een risico voor de merkreputatie op de lange termijn met zich mee.

Het waarborgen van vertrouwen is van cruciaal belang voor bedrijven die naar langetermijnwaarde voor hun bedrijf, producten en diensten streven.  Uit de Edelman Trust Barometer van 2018 bleek zelfs dat het scheppen van vertrouwen de belangrijkste taak is van moderne CEO's. Cybersecurity krijgt steeds meer prioriteit.

Uit de Global Information Security Survey van EY (GISS) blijkt dat cybersecurity steeds hoger op de bestuursagenda staat en dat bedrijven zich inspannen om hun programma's te optimaliseren. In het huidige digitale tijdperk hebben veel van hen nog een lange weg te gaan om hun capaciteiten aan te scherpen. 

Cybersecurity krijgt steeds meer prioriteit

6%

van de financiële dienstverleners zegt dat hun systemen voor informatiebeveiliging momenteel toereikend zijn voor de behoeften van hun organisatie.

Uit het onderzoek blijkt dat "slechts 6% van de financiële dienstverleners vindt dat hun systemen voor informatiebeveiliging momenteel toereikend zijn voor de behoeften van de organisatie, maar dat 65% van plan is de nodige verbeteringen door te voeren". In zekere zin zijn deze resultaten verbijsterend. Maar als we rekening houden met alle schokken in het systeem, het gestage tempo waarop nieuwe cyberaanvallen elkaar opvolgen en het steeds grotere risico voor merken (gegevensverlies, inbreuk of reputatieschade), zijn deze cijfers niet verbazingwekkend. Geloven financiële dienstverleners echt dat hun beveiligingsteam optimaal in staat is om hun organisatie te beschermen? In de meeste gevallen niet. En de bedrijven die een programma voor cyberrisico's hebben, moeten dat programma sneller verbeteren.

Organisaties in de branche maken zich volgens de onderzoeksresultaten met name zorgen over de mate van ontwikkeling van hun processen voor informatiebeveiliging op het gebied van architectuur (door 18% aangemerkt als niet-bestaand of sterk onderontwikkeld), statistieken en rapportage (18%) en activabeheer (17%). De vraag is of cyberdeskundigen wel voldoende worden ingezet tijdens deze aanhoudende transformatie. De meeste organisaties ondergaan een digitale transformatie en overwegen artificial intelligence (AI), robotica en waardevollere klantgegevens aan hun operationele modellen toe te voegen. Maar cybergegevens, -statistieken en -rapporten moeten vanaf het begin worden geïntegreerd in het systeem om een soepele transformatie mogelijk te maken. En daarvan is momenteel duidelijk geen sprake. Als in de ontwerpfase de juiste systemen en het juiste beveiligingsniveau worden ontwikkeld, is het makkelijker om tekortkomingen en gebreken in de levenscyclus te corrigeren.

Dit alles vereist de juiste expertise op het hoogste niveau. Maar er lijkt op dit gebied onvoldoende talent te zijn. 31% van de ondervraagden gaf inderdaad aan dat een tekort aan vaardigheden een potentieel struikelblok is. Medewerkers kunnen ook een enorme dreiging vormen voor organisaties. Bepaalde functies voor cybersecurity kunnen worden geautomatiseerd door middel van robotica en AI, waardoor de risico's worden teruggedrongen en de efficiëntie vaak verbetert. Innovatie biedt enorme kansen voor de branche en technologie kan helpen organisatorische veranderingen te versnellen. Een hoge mate van vertrouwen in een bedrijf houdt rechtstreeks verband met de belangrijke rol van leiderschap tijdens veranderingen. 

Ontoereikende rapportage op bestuursniveau

84%

van de bedrijven wordt op bestuursniveau onvoldoende geïnformeerd over cyberrisico's.

Het bestuur wordt niet geïnformeerd

Hoewel de meeste cyberfuncties in huis worden uitgevoerd , wordt er onvoldoende gerapporteerd aan het bestuur. Uit het onderzoek blijkt dat bij 84% van de bedrijven op bestuursniveau niet voldoende wordt geïnformeerd over cyberrisico's. Financiële diensten zijn steeds meer afhankelijk van gegevens. Als de risico- en auditcommissies van besturen niet beschikken over de gegevens die ze nodig hebben, hoe kunnen ze dan op effectieve wijze zorgen voor de nodige veranderingen? 

Als uw bedrijf het slachtoffer wordt van een aanval of gegevenslek en u geen duidelijk inzicht heeft in de risico's, hoe goed bent u dan voorbereid?

Als u even afstand neemt, zult u zien dat cyberrisico's steeds groter worden en niet zomaar verdwijnen. Als uw bedrijf het slachtoffer wordt van een aanval of gegevenslek en u geen duidelijk inzicht heeft in de risico's, hoe goed bent u dan voorbereid? Wat zijn de consequenties van reputatieschade en een gebrek aan vertrouwen in uw organisatie? We zien steeds weer dat organisaties niet goed voorbereid zijn wanneer ze te maken krijgen met een lek. Simulaties en oefeningen kunnen helpen om goed op lastige situaties te reageren. Wanneer een incident in de media wordt genoemd, denken we vaak dat de reactie anders had moeten worden aangepakt.

Technologie verandert de manier waarop bankzaken worden geregeld en banken zijn hierdoor kwetsbaarder. De laatste tijd zetten diverse bedrijven 'greenfield'-banken op ter ondersteuning van hun fysieke ondernemingen. Nu cybersecurity belangrijker wordt, is het van groot belang dat deze in de verandering worden geïntegreerd. We horen vaak opmerkingen als: "Cybersecurity is een vertragende factor. We hebben geen tijd om erop te wachten. We hebben nu resultaten nodig." Dat is zorgwekkend.

Denk aan het hele ecosysteem, niet alleen de servers

Een gebied dat niet aan bod kwam in het onderzoek, is het ecosysteem. De toeleveringsketen voor financiële diensten is zeer complex en vormt een risico voor bedrijven die gebruikmaken van outsourcing. Er is steeds meer bewijs dat aanvallers zich op zwakke derden in dat ecosysteem richten om toegang te krijgen tot gegevens en deze te gebruiken als toegangspoort tot financiële dienstverleners. Het is belangrijk dat bedrijven weten waar de gegevens van hun klanten zich bevinden en of ze het ecosysteem van hun toeleveringsketen moeten beveiligen.

De bescherming van de privacy van klanten en van persoonsgegevens maakt wereldwijd deel uit van cybersecurity en dit zal niet veranderen. Organisaties moeten nadenken over de manier waarop ze gegevens gebruiken. Natuurlijk moeten ze die beveiligen overeenkomstig de wet, maar ook de ethische aspecten verdienen aandacht. U wilt uiteraard waarde creëren en voldoen aan de regels, maar doet u dat op de juiste manier?

De komende 12 maanden moeten financiële dienstverleners zich voorbereiden. Ze moeten duurzame strategieën ontwikkelen en gegevens tegelijkertijd koste wat kost beschermen en buiten het bedrijf enkel delen met betrouwbare partners. De uitdaging voor hen is om het bedrijf te beschermen, de cybersecurity te optimaliseren en sneller te groeien. 

Door Steve Holt, EY Partner, EMEIA Financial Services

Samenvatting

Het nemen van risico's  wordt altijd beloond. Niets doen vormt juist het grootste risico. Bedrijven met robuuste cyberplatforms kunnen groeien en hun reputatie op de lange termijn beschermen. Wij zijn ervan overtuigd dat dit een belangrijk concurrentievoordeel oplevert in de toekomst.

Over dit artikel

Door

EY Global

Multidisciplinaire organisatie voor zakelijke diensten