Voor bedrijfsleiders en leden van de raad van bestuur is cyberveiligheid al te vaak een ver-van-mijn-bedshow. De materie is zeer technisch en bovendien is de schade van cyberincidenten vaak niet tastbaar genoeg. Tot het over de eigen portemonnee gaat. "Soms kunnen we bij de voorstelling van onze audit over een bedrijf vertellen dat we communicatie hebben onderschept over bijvoorbeeld aandelenopties", glimlacht Andy Deprez van het zakelijkadviesbureau EY, het vroegere Ernst & Young. "En dat we door een beveiligingslek weten hoeveel opties iedereen heeft. Ik kan u verzekeren dat iedereen dan de oren spitst."
...

Voor bedrijfsleiders en leden van de raad van bestuur is cyberveiligheid al te vaak een ver-van-mijn-bedshow. De materie is zeer technisch en bovendien is de schade van cyberincidenten vaak niet tastbaar genoeg. Tot het over de eigen portemonnee gaat. "Soms kunnen we bij de voorstelling van onze audit over een bedrijf vertellen dat we communicatie hebben onderschept over bijvoorbeeld aandelenopties", glimlacht Andy Deprez van het zakelijkadviesbureau EY, het vroegere Ernst & Young. "En dat we door een beveiligingslek weten hoeveel opties iedereen heeft. Ik kan u verzekeren dat iedereen dan de oren spitst." EY test de veiligheid van IT-processen van ondernemingen en andere organisaties altijd op hun eigen vraag. Het adviesbureau schakelt daarvoor 'ethische hackers' in die de zwakke plekken in IT-systemen opsporen, opdat de lekken gedicht kunnen worden. In veel gevallen weten bedrijven niet of hun systemen voldoende beveiligd zijn. Nochtans spelen IT-processen een steeds belangrijkere rol in hun dagelijkse werking. Het dringt vaak ook niet door dat het uitlekken van zelfs ogenschijnlijk onschuldige informatie zware gevolgen kan hebben. Er zijn gevallen bekend van cybercriminelen die goederen konden ophalen, nadat ze simpelweg een ordernummer hadden gestolen. Cyberveiligheid mag niet enkel het ding zijn van de computerspecialisten in een organisatie, maar ook van de leiding. In België gaat het stilaan de goede kant uit. Dat blijkt uit de Global Information Security Survey van EY. Die jaarlijkse enquête gebeurde in 2013 bij 1900 bedrijfsleiders en hogere kaderleden in heel de wereld. Er waren 44 Belgische respondenten, een representatieve mix van grote en minder grote organisaties uit verschillende sectoren. Uit de Belgische resultaten (zie kader) blijkt dat 25 procent van de beveiligingsexperts een prominentere plaats heeft gekregen in het organigram. Bij het vorige onderzoek rapporteerde nog geen enkele IT-expert rechtstreeks aan de bedrijfstop. Die verhoogde waakzaamheid bij het topmanagement komt niks te vroeg. 40 procent van de Belgische respondenten meldt dat ze het voorbije jaar een stijging van het aantal cyberincidenten noteerden van minstens 5 procent. "Zo'n beveiligingsincident is natuurlijk niet leuk, maar vaak wel nuttig", vertelt Kristof Dewulf van EY. "De getroffen bedrijven maken dan van cyberbeveiliging een prioriteit. Maar eigenlijk moeten ze proactief leren te denken. Bij de ontwikkeling van IT-processen moet ook nagedacht worden over hun beveiliging." Meer en meer wordt het cyberveiligheidsbeleid afgetoetst aan internationale kwaliteitsnormen en standaarden. Die normen hebben uitgebreide en gedetailleerde lastenboeken en gaan soms gepaard met jaarlijkse audits. Ondanks al die voorzorgsmaatregelen kan het toch mislopen. Verzekeringsmaatschappijen bieden daarom sinds kort producten aan waarmee bedrijven zich kunnen indekken tegen cyberrisico's. "Maar het is de vraag of die risico's wel goed in te schatten zijn", vertelt Dewulf. "39 procent van de Belgische bedrijven zegt dat ze het afgelopen jaar maximaal 37.000 euro hebben verloren door cyber-incidenten. Maar een even groot percentage heeft ingevuld dat ze niet weten hoeveel de economische schade is, laat staan de reputatieschade." STIJN FOCKEDEY