De cybersecurityterreur

Het lijkt soms wel of alles cybersecurity is. Kostenbeheersingsprogramma’s om de gierende inflatie en grondstofprijzen te lijf te gaan? Alle investeringen onder verscherpt toezicht, behalve de cybersecurityprojecten?

Governanceherinrichting van de IT-organisatie? Meer verantwoordelijkheden en taken voor de CISO? Hr-awarenessprogramma’s opnieuw uitgerold? Zero-tolerancebeleid voor de medewerkers die op een  phishing e-mail klikken? De corporate nieuwspagina op het intranet? Elke week de cyberhero in het zonnetje die ons voor iets vreselijks heeft behoed? Het IT-auditprogramma bevraagd in audit committee? Graag de focus op cybersecuritybeleid. En zo kan ik nog wel even doorgaan…

Ik moest dan ook even slikken bij het thema van dit kwartaal. Ik ben een beetje cybermoe, terwijl die cyberrisico’s natuurlijk niet volgende week over zijn. In mijn organisatie hebben we naast de jaarlijkse verplichte e-learnings rondom onze gedragscode nu ook jaarlijks verplichte e-learnings over cybersecurity. Haalt dat nog allemaal wat uit, of ben ik alleen nog maar benieuwd welk lollig animatiefilmpje nu weer gevonden is, of welke vriendelijke Engelse stem mij nu weer vertelt hoe belangrijk het is dat ik externe e-mails niet zomaar moet openen.

Ooit heb ik geleerd dat het stelsel van interne controle faalt in geval van samenzwering. Daar was namelijk geen kruit tegen gewassen. En dus liet de theorie het daar maar bij en ging iedereen vrolijk verder met het uitdiepen van controletechnische functiescheidingen in primaire en secundaire CTF’en. Een beetje kop-in-het-zandaanpak? Dat moeten we met cyberrisk maar niet doen.

En toch, wordt cybersecurity niet een buzzwoord? Grijpen de CISO’s met hun angstaanjagende voorbeelden niet te veel macht? Heeft de gemiddelde CEO wel voldoende begrip en technisch inzicht om dit risico goed af te wegen (lees: in proportie te plaatsen)? Het beste middel tegen phishing e-mails blijft natuurlijk de postkamer weer in het leven te roepen die gewoon alle externe e-mails mag printen en rondbrengen. Of is het misschien toch mogelijk om een tweede of derde systeem in hot-standby te hebben waar we gewoon naar overstappen, mocht een of andere onverlaat toch zijn inloggegevens invullen om zijn onverwachte bonusspecificatie online in te kunnen zien. Dus toch een IT-vraagstuk…

Mijn organisatie is nog geen wereldwijd bekend merk, maar het is de ambitie van onze CEO om dat wel te worden. Het thema zal dus nog wel even op onze agenda blijven staan. En wij houden uiteraard onze audits op de effectiviteit van de vijf pijlers van ons cyberbeleid op onze planning om ons steentje bij te dragen.

Als columnist moet ik prikkelend zijn. En een mening hebben. Maar ik vind niet zoveel van cybersecurity, geloof ik. Misschien is dat het hele punt. Het thema is te groot en te veelomvattend, net zoiets als wereldvrede, of governance. Daar vind ik ook niet zoveel van, omdat het te grote thema’s zijn en ik graag concreet bijdraag aan iets. Dus daar komt-ie. Laten we ophouden met cybersecurity. Maar laten we als internal auditors het risico op ongewenste toegang tot onze systemen goed in de gaten houden. Laten we zorgen dat onze medewerkers regelmatig herinnerd worden dat ze hun toegangspasjes en -codes goed beheren. Laten we zorgen dat we echte specialisten hebben die ons netwerk scannen op rare dingen. Laten we zorgen dat onze cruciale bestanden niet door iemand ‘per ongeluk’ met Google Translate vertaald worden (want dat werkt zo makkelijk).

Kortom, laten we blijven werken aan concrete risico’s en vaststellen of de organisatie daar zorgvuldig mee omgaat. En dat door die werkzaamheden ook onze cybersecurity verbetert, ach, dat vind ik prima hoor.