Matthijs van der Wel - ter Weel
Strategisch adviseur
Met veel ontzag kijk ik altijd naar de waaghalzen die op de hoogste locaties ter wereld koorddansen. Zoals Jaan Roose, die vorig jaar de oversteek maakte tussen de Zalmhaventoren en De Rotterdam. Moet je je voorstellen waar je allemaal op moet letten als je een strak gespannen koord bewandelt. Elke stap en beweging die je maakt, moet je zorgvuldig plannen en aanpassen om je evenwicht te bewaren.
In onze ogen is een CFO eigenlijk ook een koorddanser. Bij vrijwel iedere beslissing die ze nemen, moeten ze een keuze maken uit winstmaximalisatie of investeren. Twee keuzes die haaks op elkaar lijken te staan. Toch voorkomen investeringen vaak dat de winst niet in gevaar komt. Bijvoorbeeld bij investeringen die cyberrisico’s verkleinen. Zo kun je immers te maken krijgen met hoge boetes als je organisatie niet voldoet aan de NIS-richtlijn (straks: NIS2) en de AVG. Ook kunnen datalekken leiden tot grote financiële verliezen. Het is daarmee een continue inspanning om de juiste balans te vinden tussen deze aspecten, zodat je niet van het koord valt.
Maar hoe vind je nou eigenlijk de juiste balans als CFO? We geven je 3 strategische aandachtspunten:
Koorddansen wordt al eeuwenlang beoefend. Deze vorm van kunst is in de loop der jaren veranderd en nog steeds continu in beweging. Zo worden nieuwe technieken toegepast, zijn de materialen aanzienlijk beter geworden en zijn er veel nieuwe veiligheidsmaatregelen.
Met security is het niet anders. Traditioneel was beveiliging gericht op risico's die voortkomen uit het handelen van externe actoren. Uit het Security Navigator-rapport van dit jaar blijkt echter dat maar liefst 47% van de geregistreerde incidenten ontstond uit interne bronnen. In sommige sectoren lag dit percentage zelfs nog hoger. Dat veranderende dreigingslandschap vraagt om een herziening van het risicobeheer.
Onze adviezen
Als je op een doeltreffende manier risico’s wilt verminderen, adviseren we te investeringen in:
Wist je dat er dagelijks 50 nieuwe kwetsbaarheden in software worden gemeld? Cybercriminelen proberen deze massaal te misbruiken. Uit onderzoek blijkt dat slechts 28% van alle ontdekte kwetsbaarheden binnen 30 dagen worden aangepakt. Bij 72% duurt het patchen meer dan 30 dagen en bij 52% zelfs 90 dagen of meer. De gemiddelde tijd die nodig is voor het patchen is 215 dagen.
Onze adviezen
Jouw bedrijf heeft tools nodig waarmee de IT-afdeling zich kan richten op datgene wat het bedrijf daadwerkelijk in gevaar brengt. Als CFO kun je het beste investeren in:
Het gemiddelde securityniveau van organisaties is duidelijk verbeterd. Zo hebben onze eigen pentesters 10% meer tijd nodig om kwetsbaarheden bij ondernemingen te ontdekken dan 5 jaar geleden. Toch is het niet alleen maar goed nieuws. Want meer dan 1 op de 5 ontdekte kwetsbaarheden classificeren we als ‘kritiek’ of met ‘hoog risico’.
Ons advies
Uit ons Security Navigator 2023 onderzoek blijkt dat er per branche grote verschillen zijn in zowel de cyberrisico’s als de responsactiviteiten. Analyseer de prestatiecijfers van de security in jouw branche. Je hebt dan niet alleen inzicht in de belangrijkste risicogebieden. Je leert ook hoe goed jouw concurrenten zijn in het bestrijden van die risico's. Als je concurrenten succesvol lijken te zijn, kun je leren van hun strategieën en best practices en daarmee jouw eigen security verbeteren.
Terwijl we met ontzag kijken naar de moedige koorddansers die op onmogelijke hoogtes balanceren, is het belangrijk om te realiseren dat een CFO in zekere zin vergelijkbare uitdagingen aangaan. Een gezonde balans tussen winst en investeringen vereist zorgvuldige planning, aanpassing en toewijding. Alleen zo kan een CFO een stevige basis leggen voor succesvolle investeringen en een stabiele financiële toekomst.
Ben je benieuwd hoe Orange Cyberdefense jou kan helpen in het behalen van deze gezonde balans? Neem dan contact met ons op.
Matthijs heeft ruim 20 jaar ervaring in cybersecurity met een focus op incident response en cyber threat intelligence. Met zijn technische expertise en zakelijke achtergrond legt hij complexe cybersecurity vraagstukken uit en vertaalt ze naar het niveau van het management en de raad van bestuur. Matthijs is ook gastdocent aan de Erasmus School of Accounting & Assurance (ESAA) en een veelgevraagd spreker.