Insights | KPMG | NL

© 2013 KPMG Advisory N.V.

Vijf denkfouten over cybersecurity

Een bestuurders-

perspectief op cybersecurity

kpmg.nl

ADVISORY

2 | Continuous auditing and continuous monitoring: The current status and the road ahead2 | Vijf denkfouten over cybersecurity


Voorwoord 4

Introductie 6

De vijf meest gemaakte denkfouten over cybersecurity 8

Komen tot een maatwerkaanpak 11

Hoe weet u als bestuurder hoe uw organisatie ervoor staat? 12

Tot slot 14

01

02

03

04

05

Inhoud

Vijf denkfouten over cybersecurity | 3


4 | Vijf denkfouten over cybersecurity

Voorwoord

John HermansKPMG Cybersecurity Lead Partner

Gerben SchreursPartner KPMG Forensic

Dat cybersecurity belangrijk is voor elke organisatie, dat behoeft eigenlijk geen nadere toelichting. Vrijwel dagelijks bewijzen incidenten dat de risico’s groot zijn en dat zowel individuele hackers als professioneel georganiseerde cybercriminelen zich roeren. Bestuurders staan dan ook voor de taak erop toe te zien dat binnen hun organisatie de juiste prioriteiten worden gesteld. Dat is voor velen echter niet eenvoudig omdat de wereld van cybersecurity wat ongrijpbaar is vanwege het technisch jargon en het gespecialiseerde karakter. Generalisten kunnen er maar moeilijk vat op krijgen. Bovendien is het lastig om hoofdzaken van bijzaken te scheiden terwijl berichten in de media bijdragen aan een angstcultuur waarin het beeld ontstaat dat vrijwel elke organisatie een willoze prooi is. Er wordt nauwelijks onderscheid gemaakt tussen oplichters op marktplaats.nl, hackers die een website platleggen of georganiseerde criminele groepen die met een stelselmatige strategie uit zijn op het stelen van bedrijfsgeheimen. Terwijl dat onderscheid van groot belang is, want niet alle organisaties zijn even ‘aantrekkelijk’ voor deze verschillende typen van cybercrime.

Mede doordat begrippen door elkaar heen lopen is cybersecurity een lastig thema voor menig bestuurder. Dat mag echter geen excuus zijn om het thema af te schuiven naar gespecialiseerde professionals. Het is juist essentieel dat bestuurders zelf actief sturen op drie aspecten van cybersecurity: (1) de financiële middelen ervoor, (2) een adequate governance en (3) het stimuleren van een cultuur waarin iedereen zich bewust is van zijn verantwoordelijkheden. Bestuurders staan voor de taak om in de complexiteit van dit thema gedegen afwegingen te maken en op zijn minst de juiste vragen stellen. Maar hoe doet u dat? Deze whitepaper geeft handvatten en brengt cybersecurity terug tot de basis.




Wat is cybercrime en wie doet dit?

Cybercrime is het geheel van illegale digitale activiteiten die zijn gericht op een organisatie. De term cybercrime omvat een ware wildgroei van doelen en aanvals-methoden.

Een goed begrip van de ‘actor’, de persoon of organisatie achter deze aanvallen, is essentieel voor effectief verweer tegen cybercrime.

De actoren zijn in te delen in een viertal categorieën:

1 De eenvoudige hacker, gemotiveerd om te laten zien wat hij/zij allemaal kan;

2 De activist, gericht op het uitdragen van een gedachte-goed, vaak gedreven door een ideologie of gericht op het zaaien van angst, gedreven door politieke doelen;

3 Georganiseerde misdaad, gericht op direct geldelijk gewin (bijvoorbeeld door phishing) of indirect geldelijk gewin, gericht op het doorverkopen van bedrijfs-gegevens;

4 Staten, gericht op het verbeteren van de geopolitieke positie of vergroting van de interne machtspositie.

Het is van essentieel belang dat deze verschillende actoren verschillen in eigenschappen zoals type doelwit van de aanval, de middelen die de actor tot zijn/haar beschikbaarheid heeft alsook het aantal aanvallen welke uitgevoerd worden door deze actor. In een door het Nationale Cyber Security Centrum (NCSC) uitgegeven publicatie is een nadere analyse weergegeven van het cybersecuritybeeld in Nederland, alsmede een gedetail-leerde beschrijving van voorkomende cyberactoren.


Drie aandachtsgebieden voor effectieve maatregelen

Preventie Preventie begint met governance en organisatie. Het gaat naast technische maatregelen onder andere om het beleggen van de verantwoordelijkheid voor cybercrime in de organisatie en om bewustwordingstrainingen voor belangrijke medewerkers.

Detectie Een organisatie kan door het monitoren van kritieke gebeurtenissen en centrale veiligheidsincidenten en -gebeurtenissen de technologische detectiemaatregelen versterken. Monitoring en data mining vormen samen een uitstekend instrument om vreemde patronen in het gegevensverkeer op het spoor te komen, te signaleren waar de aanvallen zich concentreren en de systeemprestaties te observeren.

Respons Bij respons gaat het om het in werking stellen van een plan zodra zich een aanval voordoet. Bij een aanval moet de organisatie alle getroffen technologie direct buiten werking kunnen stellen. Bij de ontwikkeling van een respons- en herstelplan doet een organisatie er goed aan (informatie)beveiliging te zien als een continu proces en niet als eenmalige oplossing.

Introductie

Cybersecurity: wat u waarschijnlijk al weet

Deze combinatie van ontwikkelingen is natuurlijk ook bekend bij malafide personen en/of organisaties. De aan-vallen op netwerken van overheden en bedrijven nemen dan ook toe in aantal en ernst. Cybercriminelen doen dit vanuit verschillende motieven, variërend van uit de hand gelopen hobbyisme of geldelijk gewin tot

De hoeveelheid data blijft exponentieel groeien. Belangrijker nog: de mate waarin organisaties data met elkaar delen via tal van interfaces en apparaten groeit eveneens exponen-tieel. The internet of things – waarin miljarden apparaten variërend van tablets en smartphones tot betaal-terminals, beveiligingsinstallaties, olievelden, gebouwbesturings-systemen en thermostaten – aan elkaar zijn gekoppeld is eigenlijk al bijna geen toekomstscenario meer maar wordt in rap tempo realiteit.

Het gevolg daarvan is dat de afhanke-lijkheden tussen organisaties steeds groter worden in een sterk genet-werkte samenleving. Organisaties stellen hun IT steeds meer open voor een breed scala toepassingen via alle denkbare (mobiele) apparaten en zijn daarmee voor hun databeveiliging mede afhankelijk van andere organi-saties. Bovendien is de continuïteit van kernprocessen – zowel maatschappelijk als binnen bedrijven – steeds meer afhankelijk van IT. Een verstoring ervan – al dan niet door moedwillige inbraak van buiten – kan dan ook een grote impact hebben op de beschikbaarheid van diensten.


en met spionage of terroristische achtergrond. Dit noopt tot effectieve maatregelen. Organisaties moeten zich goed beschermen en maatregelen nemen om in geval van incidenten snel tot een goede respons te komen. De klassieke drie thema’s preventie, detectie en respons verdienen daarbij aandacht (zie kader).

01


Wat u misschien nog niet weet Tot zover alles wat u waarschijnlijk al weet over cybersecurity, want het thema mag zich de laatste jaren in veel belangstelling verheugen. Die aandacht is prima.

Tegelijkertijd moeten organisaties zich niet gek laten maken. De media schetsen regelmatig een ongenuanceerd beeld van cyber-security alsof veel organisaties een haast willoos slachtoffer zijn van cyberboeven. Daarbij wordt alles over één kam geschoren en dat leidt bij bedrijven hier en daar tot angst die niet op feiten is gebaseerd. Een MKB-bedrijf heeft een heel ander profiel dan een multinational en over veel van de in de media genoemde incidenten hoeft een MKB-bedrijf zich dan ook weinig zorgen te maken.

Preventie Detectie Respons

Beheer en Organisatie

Toewijzen van verantwoorde-lijkheden voor Cybercrime

Verzorgen van training beveiligingsbewustzijn

Borgen van 24 x 7 stand-by crisis organisaties

Inzetten van forensische analyse vaardigheden

Processen Uitvoeren cybercrime respons test (simulatie)

Uitvoeren periodieke scans en penetratietesten

Uitvoeren procedures voor opvolging van incidenten

Uitvoeren cybercrime respons plan

Technologie Realiseren van adequate desktopbeveiliging

Realiseren van netwerksegmentatie

Implementeren logging van kritieke processen

Implementeren centraal monitoren van beveiligingsincidenten

Stoppen of verbreken van aangevallen IT-diensten

De waarheid ligt dan ook genuan-ceerder dan het beeld in de media. De risico’s zijn wel degelijk beheers-baar. Cybercriminelen zijn geen onoverwinnelijke genieën, en het ontbreekt overheden en onder-nemingen zeker niet aan kennis om cybercrime te bestrijden. Maar we moeten ons wel realiseren dat honderd procent veiligheid een illusie is en dat het najagen van die honderd procent niet alleen tot frustratie zal leiden maar mogelijk ook tot schijnzekerheid.

In feite moeten we cybersecurity gaan beschouwen als ‘business as usual’. Als een thema dat op dezelfde wijze aandacht verdient als bijvoorbeeld het risico op brand of fraude. Dit zijn thema’s die gestructureerd worden aangepakt door het management,

vanuit een risk management perspec-tief, en dus niet met de gedachte om een systeem te bouwen dat honderd procent waterdicht is. Voor cyber-security is dat echter veelal nog vloeken in de kerk.

We zijn er van overtuigd geraakt dat veel organisaties op een andere manier naar cybersecurity moeten kijken. Ze moeten niet redeneren vanuit angst voor wat er buiten gebeurt, maar redeneren vanuit eigen kracht. Vanuit de juiste overwegingen over risico’s en het karakter van de eigen organisatie.





Cybersecurity heeft voor velen iets mysterieus. Dat is waarschijnlijk een van de redenen dat het thema niet altijd op de juiste wijze wordt benaderd. Op basis van onze praktijkervaringen gaan we in dit hoofdstuk in op de vijf meest voorkomende denkfouten over cybersecurity.

1

2

Denkfout: “We moeten gaan voor 100% beveiliging”

Werkelijkheid: 100% zekerheid is onhaalbaar en ongewenst

Vrijwel elke luchtvaartmaatschappij claimt dat vliegveiligheid de aller-hoogste prioriteit heeft. Welbeschouwd is dat onmogelijk. Immers, als de veiligheid echt de hoogste prioriteit zou hebben, dan zou er geen vliegtuig meer opstijgen. Datzelfde geldt ook voor cybersecurity. Met name grote organisaties met een grote maat-schappelijke bekendheid zullen een keer te maken krijgen met een incident waarbij informatie wordt ontvreemd of publiek gemaakt, of met een meer ingrijpende verstoring van bedrijfs-processen. Hoge bomen vangen immers veel wind.

Alleen al de bewustwording dat een 100% bescherming tegen cybercrime geen haalbaar en wenselijk doel is, is een belangrijke stap op weg naar een effectiever beleid. Dat maakt immers de weg vrij om met de bril van een risicomanager te kijken naar een goede beveiliging tegen cybercrime. Daarbij gaat het om het analyseren van risico´s vanuit het perspectief van de organi-

producten verkopen waarmee organi-saties indringers kunnen weren of tijdig opsporen. Die tools zijn essentieel voor een adequate beveiliging – evenals een goede samenhang in de technologie (de architectuur) – maar vormen niet het startpunt van een goed beleid voor cybersecurity: “A fool with a tool is still a fool”. De aanschaf van goede tools is namelijk juist de laatste stap in dat beleid.

Goede beveiliging begint met het op orde krijgen van de processen voor cyber defense. Daarbij hoort ook dat de professionals in de IT-functie volledig doordrongen zijn van de noodzaak tot cybersecurity. Daarnaast gaat het om kennis en bewustzijn bij de eind-gebruiker. De mens is en blijft – zowel als IT-professionals als eindgebruiker - vaak de zwakste schakel als het gaat om veiligheid en investeren in de allerbeste tools is dan ook alleen maar zinvol als mensen hun verantwoorde-lijkheden op dit punt begrijpen. Social engineering - waarbij hackers het vertrouwen winnen van medewerkers door slim sociaal gedrag en daardoor toegangsrechten weten te krijgen tot systemen – blijft een van de belang-rijkste risico’s. En daar is met techno-logie weinig tegen te doen. De juiste

De vijf meest gemaakte denkfouten over cybersecurity

satie én de crimineel (preventie), het signaleren en analyseren van de belangrijkste activa (detectie) en het opzetten van een organisatie die incidenten direct oppakt (respons). In de praktijk ligt de nadruk nu vaak op de preventie (het opwerpen van dikke en hoge muren die indringers moeten tegenhouden). Wie echter doordrongen is van het feit dat een volledige beveiliging een illusie is – en dat cybersecurity ‘business as usual’ is – begrijpt direct dat er vooral ook meer nadruk moet zijn op een adequate respons. Organisaties moeten in staat zijn om na een incident – variërend van diefstal van informatie tot een ontwrichtende aanval op de kern-systemen – snel de zaken op orde te krijgen. Daarmee bewijzen ze dat ze in control zijn.

Denkfout: “Als we investeren in best-of-class tools, dan zijn we veilig”

Werkelijkheid: Cybersecurity gaat minder om technologie dan u denkt

De wereld van cybersecurity wordt gedomineerd door gespecialiseerde leveranciers die geavanceerde


3

en u goed te verdiepen in de (motieven en tactieken van) mogelijke aanvallers. Het is echter vooral ook verstandig om niet alleen maar in een reactieve rol te zitten maar in plaats daarvan het beleid ook vorm te geven vanuit het karakter van de eigen organisatie en een flexi-bele, proactieve houding in te nemen. Bestuurders dienen zich daartoe af te vragen waar de grote waarden in hun organisatie zitten en welke onderdelen essentieel zijn voor het bestaansrecht. Het beleid dient zich primair te richten op deze onderdelen, aangezien daar de grootste risico’s zijn ten aanzien van kosten (reputatieschade, inkomsten-derving, publiek worden intellectueel eigendom). Kortom: bestuurders mogen zich niet laten verblinden door de nieuwigheden in cybercrime, maar moeten vanuit de eigen organisatie redeneren.

In feite gaat het voortdurend om het maken van een business case voor cybersecurity vanuit eigen kracht, en op basis daarvan een maatwerkaanpak met de juiste tools te ontwikkelen. Belangrijke vragen voor bestuurders zijn daarbij: Weten we voor wie we interessant zijn en waarom? Weten we welke risico’s we op dit terrein bereid zijn om te accepteren (risk appetite) Hebben we inzicht in welke systemen de belangrijkste waarden (en ons bestaansrecht) liggen besloten?

Wat die laatste vraag betreft: Een organisatie kan heel anders tegen de waarde van activa aankijken dan een

4

crimineel. Het is dus belangrijk de waarde van activa te bekijken vanuit het perspectief van zowel de organi-satie als dat van de crimineel1. In dat opzicht moeten we ons ook realiseren dat het bedrijfsleven en de technologie zich in ketens hebben ontwikkeld en dat organisaties dus mede afhankelijk zijn van elkaars beveiliging.

Denkfout: “We moeten streng controleren of de cybersecurity procedures worden nageleefd”

Werkelijkheid: Het vermogen om te leren is belangrijker dan het vermogen om te controleren

Alleen een organisatie die in staat is om externe ontwikkelingen en plotse-linge gebeurtenissen te vertalen naar het beleid – door ervan te leren dus – kan op langere termijn succes blijven boeken. Dat geldt op een breed terrein, en het geldt ook voor cybersecurity.

De praktijk laat zien dat cybersecurity sterk wordt gedreven door compliance. Dat is begrijpelijk, want veel organi-saties hebben te maken met ver-plichtingen vanuit een breed scala aan weten regelgeving. Het is echter contraproductief om compliance als een doelstelling van het cybersecurity-beleid te zien.

cultuur voor cybersecurity betekent ook dat er een open meldcultuur is waarin medewerkers zonder angst voor represailles melding kunnen doen van zaken die mis gaan.

Juist daarom is het zaak dat bestuur-ders dit thema niet delegeren. Zij moeten oprechte interesse tonen en bereid zijn zich te verdiepen in de dilemma’s die daarbij een rol spelen. Ze dienen het belang en de urgentie ervan uit te stralen naar de gehele organisatie, zodat er een cultuur kan ontstaan waarin medewerkers alert zijn op dreigingen.

Denkfout: “Onze wapens moeten beter zijn dan die van de hackers”

Werkelijkheid: Het beveiligingsbeleid wordt primair door u bepaald, niet door de aanvallers

De strijd tegen cybercrime is een typisch voorbeeld van een moeilijk te winnen ratrace. De aanvallers ontwikkelen steeds weer nieuwe methoden en technieken en de ver-dediger staat dan ook haast per definitie op achterstand. Zo lijkt het tenminste. Maar is dat wel zo? En is het dan wel zinvol om hijgend achter de vijand aan te lopen en nog betere tools in te zetten om hem buiten te houden?

Natuurlijk is het zaak op zijn minst zo goed mogelijk bij te blijven in deze race

1 Zie ook ‘Een genuanceerde visie op cybercrime’, KPMG 2012



Het gaat immers bij cybersecurity niet alleen om het vermogen om te contro-leren maar ook om het vermogen om te leren.

Dat betekent concreet onder andere het volgende:

• Organisaties moeten inzicht hebben in hoe de dreigingen en patronen in de omgeving zich ontwikkelen en daarop anticiperen; een scherp zicht hierop is vaak een veel betere ver-sterking van de veiligheid dan het opwerpen van nog hogere muren door tools. Dat gaat verder dan monitoring van infrastructuren, het gaat om een slimme analyse van ontwikkelingen buiten de organisatie waarmee men patronen combineert. Dit aspect is vaak onderbelicht en biedt mogelijkheden om op kosten-

effectieve wijze de veiligheid op een hoger niveau te krijgen. De praktijk is helaas dat veel organisaties teveel het wiel zelf uitvinden en te weinig gebruik maken van de kennis die er al is.

• Organisaties moeten zorgen dat incidenten ook worden geëvalueerd zodat er lering kan worden getrok-ken uit deze incidenten. De praktijk is echter dat er bij een incident nog te vaak in een paniekmodus wordt gehandeld. Daardoor is de reactie niet alleen suboptimaal – paniek is vaak fnuikend voor daadkracht – maar gaat ook het leereffect verloren. Als er goede feedback loops zijn, wordt het mogelijk om niet alleen maar brandjes te blussen maar ook om op basis van de ervaring met die brandjes te komen tot een betere brandpreventie.

• Datzelfde geldt ook voor de monito-ring van aanvallen van buiten. In veel gevallen zijn er prima mogelijkheden geïmplementeerd voor monitoring, maar staat deze monitoring teveel in een isolement ten opzichte van de rest van de organisatie. Van de opgedane informatie wordt niet of onvoldoende geleerd. Bovendien vergt monitoring ook een goed doordachte focus: Pas als je goed weet wat je wilt monitoren, wordt monitoring een goed middel om aanvallen tijdig in het vizier te krijgen.

• Organisaties dienen de informatie-voorziening over cybersecurity te structureren. Dit vergt onder andere

5

een betere informatievoorziening aan bestuurders: nagaan wanneer wel/niet escalatie naar boven nodig is en het bestuur een goed inzicht – met de juiste mate van detail – geven in welke risico’s er spelen en hoe relevant deze op strategisch niveau zijn.

Denkfout: “We moeten de beste professionals aantrekken om ons te wapenen tegen cybercrime”

Werkelijkheid: Cybersecurity is geen afdeling maar een houding

Cybersecurity wordt vaak gezien als de verantwoordelijkheid van een afdeling gespecialiseerde professionals. Dat doet echter geen recht aan de uitdaging en heeft bovendien het risico van schijnzekerheden. Want de rest van de organisatie beschouwt het niet als hun probleem als er incidenten op- treden en de reflex is dan vaak om te investeren in verdere versterking van die afdeling. Dat is een heilloze weg.

De echte uitdaging zit erin om cyber-security te integreren in alles wat je doet. Dat betekent bijvoorbeeld dat cybersecurity een onderdeel is van het HR-beleid – met in sommige gevallen zelfs een koppeling met het belonings-beleid. Het betekent ook dat cyber-security een centrale plaats moet krijgen bij de ontwikkeling van nieuwe IT-systemen – en niet, zoals vaak gebeurt, op het einde van zo’n project pas aandacht krijgt.




11 | Telelens op de toekomst

De risico’s zijn bij een lokale ondernemer van een heel ander kaliber dan bij een wereldwijd opererende multinational. Bij de laatste is de zichtbaarheid voor criminelen groter, is de afhankelijkheid van IT hoger, en staan er grotere belangen en (reputatie)risico’s op het spel. In beide gevallen is het echter nodig om vanuit de typologie van de eigen organisatie, de risicobereidheid en de kennis te komen tot een maatwerkaanpak. Dat is echter precies waar het aan schort. In dit verband is het zinvol om de vergelijking te maken met hoe een juwelier komt tot een goede diefstalbeveiliging. De onderstaande tabel biedt dan ook zowel een MKB-onderneming als een multinational een kritische spiegel.

Perspectief van juwelier op diefstalbeveiliging Veel voorkomend perspectief op cybersecurity

Ik weet welke waarden ik moet beschermen en stem mijn maatregelen daarop af.

Ik neem maatregelen zonder een goed beeld te hebben van welke waarden essentieel zijn om te beschermen.

Ik zie diefstal als het risico van het vak en weet dat ik niet meer in business ben als ik 100% zekerheid wil.

Ik zie cybercrime als iets exotisch en streef naar 100% zekerheid.

Ik focus op maatregelen die voorkomen dat er iemand naar buiten gaat met waardevolle spullen.

Ik focus op maatregelen die voorkomen dat er iemand binnenkomt en vergeet om maatregelen te nemen die tegengaan dat er informatie naar buiten gaat.

Ik laat me niet gek maken door leveranciers van beveiligingsmiddelen en bepaal zelf wel wat ik aanschaf.

Ik laat mijn security beleid sterk afhangen van de beschikbare middelen op de markt zonder precies te weten wat ik nodig heb.

Ik trek lering als het (bijna) fout gaat. Ik schiet in de paniek als het (bijna) fout gaat.

Ik train medewerkers over hoe ze de risico’s van diefstal kunnen verkleinen en spreek hen erop aan als ze fouten maken.

Ik beschouw cybersecurity vooral als een zaak van gespecialiseerde professionals en wil er de rest van de organisatie niet teveel mee lastig vallen.

Ik investeer in middelen omdat dat mijn bestaansrecht is. Ik investeer in middelen omdat dat verplicht is en omdat er elke dag incidenten staan in de media.


03Komen tot een maatwerkaanpak



Leiderschap en governance Bestuurders dienen in woord en daad te laten zien dat ze zich eigenaar voelen van het thema en laten zien dat ze de ermee samenhangende risico’s adequaat willen managen.

Gedragsfactoren Cybersecurity heeft niet (alleen) te maken met de juiste technische maat-regelen, maar ook met het creëren van een cultuur waarin mensen alert zijn en zich bewust zijn van hoe zij kunnen bijdragen aan veiligheid.

Information Risk Management Een adequate aanpak voor alomvattend en effectief risicomanagement ten aanzien van informatievoorziening, ook in relatie tot partnerorganisaties.

Als bestuurder wilt u weten of uw organisatie een adequaat beleid heeft voor cybersecurity. KPMG gaat daarbij uit van een model dat op zes dimensies een visie oplevert.

Leadership

Business Continuity

Human Factors

Info Risk Mgmt

Legal & Compliance

Ops & Technology


04Hoe weet u als bestuurder hoeuw organisatie ervoor staat?



Business Continuity en Crisis Management Een goede voorbereiding op eventuele incidenten en het vermogen om de impact van deze incidenten te mini-maliseren. Dit omvat onder meer crisis- en stakeholdermanagement.

Beheersmaatregelen en controls De implementatie van controle- en beheersingsmaatregelen in de organisatie om risico’s van cyber-security te identificeren en de impact van incidenten te minimaliseren.

Juridisch Het voldoen aan weten regelgeving ten aanzien van informatiebeveiliging.

Het toepassen van dit holistische model levert organisaties het volgende op:

• Het minimaliseren van het risico dat een organisatie wordt getroffen door een cyberaanval van buiten en het minimaliseren van de eventuele gevolgen van een succesvolle aanval.

• Betere beslissingen op het gebied van cybersecurity: de informatie-voorziening over maatregelen, aanvalspatronen en incidenten wordt daartoe geoptimaliseerd.

• Heldere communicatielijnen over het thema cybersecurity. Iedereen kent zijn verantwoordelijkheden en weet wat er moet gebeuren als er (vermoedens van) incidenten zijn.

• Een bijdrage aan een betere reputatie. Een organisatie die goed is voorbereid en goede afwegingen over het thema cybersecurity heeft gemaakt kan op vertrouwenwekkende wijze communiceren over dit thema.

• Het verhogen van de kennis en competenties over cybersecurity.

• Het benchmarken van de organisatie op het gebied van cybersecurity in relatie tot peers.

Leadership and Governance

Information Risk Management

Operations and Technology

Human Factors

Business Continuity and Crisis Management

Legal and Compliance

Board demonstrating due diligence, ownership and effective management of risk.

The approach to achieve comprehensive and effective risk management of information throughout the organization and its delivery and supply partners.

The level of control measures implemented to address identified risks and minimize the impact of compromise.

The level and integration of a security culture that empowers and ensures the right people, skills, culture and knowledge.

Preparations for a security event and ability to prevent or minimize the impact through succesful crisis and stakeholder management.

Regulatory and international certification standards as relevant.




Cybersecurity is zeker een thema dat u als bestuurder op uw agenda moet hebben staan. Zowel uw toezichthouders, raad van commissarisleden als aandeelhouders verwachten dat u voldoende aandacht heeft voor deze steeds groter wordende problematiek.

Daarom is het noodzakelijk om de volgende vragen te beantwoorden voor uw organisatie:

1 Hoe groot is het risico voor mijn organisatie, alsmede de organisaties waar ik zaken mee doe? Startpunt van uw verkenning van dit probleem, is het bepalen van het risicoprofiel van uw organisatie. Hoe interessant is uw organisatie voor potentiële cybercriminelen? Hoe afhankelijk is uw organisatie van de dienst-verlening van andere organisaties. En tenslotte hoeveel risico wilt u als organisatie lopen? Immers 100% veiligheid bestaat niet!

Bij deze een paar kernvragen die u kunt gebruiken voor het bepalen van uw risicoprofiel alsook risk appetite:

• Weten we welke processen en/of systemen de grootste waarde vertegenwoordigen vanuit het perspectief van cybersecurity?

• Hebben we wel bewust nage-dacht over hoeveel risico’s we voor deze processen en/of systemen bereid zijn te accepteren? (risk appetite)

• Hoe geïntegreerd / afhankelijk is de dienstverlening van de organisatie met / van dienst-verlening van partners (toe-leveranciers, klanten) en wat is de mate van integratie van de ondersteunende IT processen?

• Hebben deze partners een zelfde beeld over de risk appetite en de daarop afgestemde maatregelen op het gebied van cybersecurity?

• Ontwikkelen we duidelijke business cases voor onze investeringen in cybersecurity?


Tot slot ... tijd voor actie05




2 Technologie is niet het antwoord, het antwoord is gelegen in de combinatie van governance, cultuur en gedrag. En u als bestuurder heeft daar een belangrijke rol. Zonder uw commitment zal een gedrags- en cultuurverandering in uw organisatie niet plaatsvinden.

Kernvragen die in dit kader relevant zijn om te beantwoorden:

• Hebben we zicht op hoe onze organisatiecultuur bijdraagt (of juist een belemmering vormt) voor goede cybersecurity?

• Wanneer hebben we als bestuur voor het laatst zelf iets gecommu-niceerd over (het belang van) cybersecurity?

• Zijn we voorbereid om te han-delen bij een crisis of incident? Weten wie wie en hoe we moeten communiceren?

• En kunnen we dan aan stake-holders verantwoording afleggen over hoe ons beleid voor cyber-security eruit ziet?

3 Hoeveel budget moet u als organisatie vrijmaken en waar aan te besteden?

Afhankelijk van het risicoprofiel van uw organisatie, kan het budget voor cybersecurity oplopen tot 3 tot 5% van uw totale IT budget. Op dit moment wordt vaak een significant deel besteed aan het implementeren van technologische oplossingen als-mede het oplossen van problemen uit het verleden. Kernvraag die hier te beantwoorden is:

• Hoeveel van ons budget gaat naar het oplossen van problemen uit het verleden en hoeveel naar structurele investeringen in betere veiligheid (security by design) van systemen?

Maar dit is slechts een deel van de oplossing. Zonder een goede governance, goede cyber security processen en natuurlijk ruime aandacht voor de bewustwording en cultuurverandering, zullen deze technologische oplossingen hun waarde niet bewijzen. Kortom, stel u eens de vraag:

• Hoeveel van ons budget voor cybersecurity gaat naar syste-men en tools, en hoeveel naar bewustwording en cultuur-verandering?

Kortom, tijd voor actie!

Deze publicatie is tot stand gekomen met dank aan:

Peter Kornelisse, Koos Wolters, Dennis van Ham, Ronald Heil, Harald Oymans, Stan Hegt en Tamara Kipp.

Contact

John HermansKPMG Cybersecurity Lead PartnerT: +31 (0) 20 656 8394E: [email protected]

Gerben SchreursPartner KPMG ForensicT: +31 (0)20 656 8866E: schreurs. [email protected]

De in dit document vervatte informatie is van algemene aard en is niet toegespitst op de specifieke omstandigheden van een bepaalde persoon of entiteit. Wij streven ernaar juiste en tijdige informatie te verstrekken. Wij kunnen echter geen garantie geven dat dergelijke informatie op de datum waarop zij wordt ontvangen nog juist is of in de toekomst blijft. Daarom adviseren wij u op grond van deze informatie geen beslissingen te nemen behoudens op grond van advies van deskundigen na een grondig onderzoek van de desbetreffende situatie.

© 2013 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is een dochter-maatschappij van KPMG Europe LLP en lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG, het logo en ‘cutting through complexity’ zijn geregistreerde merken van KPMG International.

www.kpmg.nl

KPMGLaan van Langerhuize 11186 DS Amstelveen

P.O. Box 745551070 DC Amstelveen

Insights | KPMG | NL

Documents

Transcript of Insights | KPMG | NL