Cybersecurity steeds belangrijker voor waardecreatie
Door Angeli Hoekstra & Andreia Veiga
Met de toenemende afhankelijkheid van technologie realiseren organisaties zich dat effectieve cybersecuritymaatregelen niet alleen essentieel zijn voor het beschermen van gevoelige gegevens, maar ook voor het creëren van waarde en het behouden van concurrentievoordeel op de markt. Voor partijen die betrokken zijn bij een transactie is het extra belangrijk cybersecurityrisico’s te beoordelen om hun waarde en kansen voor groei te vergroten.
Cyberdreigingen
Cyberdreigingen komen vanuit verschillende hoeken. Geopolitieke situaties spelen een rol, waarbij landen enerzijds specifieke infrastructuur willen platleggen omdat ze oorlog voeren met elkaar of andere landen in die oorlog willen betrekken. Anderzijds hebben veel organisaties intellectueel eigendom dat aantrekkelijk kan zijn voor andere organisaties.
Een simpelere vorm van cybercriminaliteit richt zich op het stelen van geld, inbreuk maken op privacy of afpersing met gestolen of versleutelde gegevens (ransomware). Er is niet al te diepgaande kennis nodig om schade aan te richten en met Generatieve AI zal het nog makkelijker en meer worden. Kwetsbaarheid voor cyberrisico’s staat volgens PwC’s meest recente CEO Survey in de top 3 van bedreigingen die CEO’s wereldwijd ervaren. Als organisatie kom je er niet meer mee weg als je je basiscyberhygiëne niet op orde hebt.
Professionelere cyberfunctie door wet- en regelgeving
Daarbij zullen organisaties hun cyberfunctie verder professionaliseren om te voldoen aan wet- en regelgeving als DORA (Digital Operational Resilience Act), CRA (Cyber Resilience Act) en NIS2. Europa wil haar bedrijven en burgers beschermen met een hele rij van reguleringen. Die veiligheid zit ook in de veiligheid van producten en diensten; je moet weten waar ze vandaan komen, of ze veilig zijn, wat hun impact is… Er gelden verschillende classificaties. Bij producten en diensten die kritieke infrastructuur raken, moet je aan meer veiligheidsmaatregelen voldoen. NIS2 kijkt ook naar de impact op de maatschappij en hoe je eventuele risico’s kunt reduceren.
Niet alleen bescherming, maar ook waardecreatie
Organisaties die het belang van cybersecurity erkennen en het opnemen in hun algehele bedrijfsstrategie kunnen niet alleen hun activa beschermen, maar ook waarde creëren door het versterken van klantvertrouwen, het stimuleren van digitale transformatie, het naleven van regels en het verkrijgen of vergroten van concurrentievoordeel op de markt. Cybersecurity en waardecreatie raken zo steeds meer geïntegreerd en kunnen – zeker als organisaties bij een transactie betrokken zijn – waarde en kansen voor groei vergroten. Niet goed-afgedichte cybersecurityrisico’s kunnen daarentegen waardevermindering veroorzaken. Proactief beleid om dat te voorkomen is dan ook gewenst.
Breng je cyberrisicoprofiel in kaart
Voldoen aan de eisen begint met controle over jouw cyberbeveiligingsfunctie. (Middel)grote bedrijven zullen steeds vaker een chief security officer of een IT/cybersecurityleider krijgen. Kleinere bedrijven gaan gebruikmaken van oplossingen als cybersecurity als een service of een IT-manager die ook meer met beveiligingsstrategieën bezig gaat. Maar anno 2024 draait het niet alleen meer over deze ‘puur’ defensieve kant van cybersecurity. Cybersecurity wordt steeds meer een strategische investering om waarde te creëren.
Om cybersecurity zowel als defensief als waarde creërend mechanisme in te zetten, doe je er als organisatie verstandig aan je cyberrisicoprofiel in kaart te brengen. Start met een duidelijke strategie en vertaal het naar operationele zaken. De basishygiëne – zeg e-mailbeveiliging, systeembescherming en een zekere mate van monitoring van de infrastructuur – is meestal wel aanwezig, maar staat vaak nog op zichzelf.
Voor een deal voerden we onlangs due diligence uit bij een klant die een ransomware-aanval had gehad. Toen we een van de leiders vroegen wat zijn ergste nachtmerrie was, antwoordde hij “opnieuw slachtoffer worden van ransomware”. Hij had de pijn doorstaan, zwaar geïnvesteerd in operationele beveiliging, maar dit antwoord liet zien dat hij nog steeds het gevoel had dat zijn organisatie geen controle had over de cyberfunctie. Ransomware en andere cyberaanvallen zijn altijd mogelijk; een organisatie moet zich voorbereiden en klaar zijn voor een snelle reactie en een soepel herstel, om de impact en de downtime te minimaliseren.
Van strategie naar operatie
Als organisatie moet je vanuit een strategische naar een operationele laag cybersecurity werken. Dus geen beveiliging omdat iedereen het doet, of een logbestand omdat je nu eenmaal een logbestand moet hebben… Zorg ervoor dat alles aansluit op een algehele strategie en samenkomt in een cyberrisicoprofiel. Op basis van potentiële risicofactoren ga je vervolgens na hoe bewust je als organisatie bent van deze risico’s. Als je er niet van op de hoogte bent, beheer(s) je ze zeker niet.
Breng dreigingen en risico’s die deze kunnen veroorzaken goed in kaart en bepaal hoeveel risico je als organisatie wilt nemen. Pas op basis daarvan je controlemaatregelen aan en doe een kostenbatenanalyse om te bepalen welke (mogelijk kostbare) controlemaatregelen je wilt doorvoeren. Wellicht heb je al bestaande controles zoals e-mailbeveiliging en patchbeleid. Ga na of ze effectief zijn. Maak een lijst van je controles, monitor ze en geef aan of je tevreden bent met de mitigatierol die ze hebben op deze risico’s. Zo zie je vanzelf welke issues je moet aanpakken en kun je prioriteiten stellen en budget toewijzen voor beveiligingsprogramma’s en bijbehorende projecten. Zo vertaal je de strategische component van risicobeheer naar operationele zaken.
Wees voorbereid op een ransomware-aanval
De gereedheid van organisaties om te reageren op aanvallen is vaak ook nog beperkt. Het is belangrijk dat je als organisatie zowel in je IT- als OT-systemen eventuele bedreigingen in kaart brengt en proactief zoekt naar cyberdreigingen die onopgemerkt in een netwerk aanwezig kunnen zijn (‘threat hunting’). Zo breng je zoveel mogelijk de bedreigingen in kaart en kun je je controlemaatregelen aanscherpen.
Sommige organisaties hebben weliswaar gedocumenteerde reactieprocedures, maar die zijn meer gericht op de IT-kant. Een playbook hoe te reageren op bijvoorbeeld een ransomware-aanval ontbreekt vaak. Terwijl het hebben van een responsmogelijkheid zo belangrijk is: hoe goed ben je voorbereid op het detecteren van een aanval en kun je – als nodig – adequaat reageren? Heb je procedures klaarliggen en al eens gesimuleerd hoe je gaat handelen?
Tijdens een crisis is het een en al chaos, dus je kunt maar beter voorbereid zijn. Stel iemand aan die weet hoe hij de systemen kan herstellen, maak back-ups, test deze ook regelmatig en gebruik een goede back-upstrategie, wat niet meer eenvoudig is in multi cloud- / premise-omgevingen. Train bovendien je medewerkers en investeer zodat je met een snelle reactie de uitvaltijd kunt beperken, datadiefstal kunt minimaliseren en waardeverlies kunt voorkomen. Een goed voorbereide organisatie zal sneller reageren en herstellen, wat leidt tot lagere impact en downtime.
Besteed aandacht aan processen, technologie én mensen
Houd daarbij in gedachte dat beveiliging en cybersecurity een continue activiteit is. Een blijvend onderdeel van je bedrijfsvoering, waarbij processen, technologie én mensen een rol spelen. En onderschat vooral de factor ‘mensen’ niet. Het is heel verleidelijk naar technologie te kijken en te denken, ik koop deze dure superintelligente firewall, vertrouw op AI om patronen te definiëren en hoef verder niets meer te doen…
Maar, als je medewerkers niet begrijpen waarom ze multifactorauthenticatie moeten gebruiken, als ze niet begrijpen waarom ze niet op bepaalde links moeten klikken, als ze niet begrijpen waarom ze pogingen tot phishing moeten melden, dan kunnen zij je beveiliging echt breken. Je bent zo sterk als je zwakste schakel. Insiderrisico’s – dreigingen die vanuit de eigen organisatie komen – zijn belangrijke cyberrisico’s. Niet vreemd dus dat bedrijven soms zero trust-architectuur of zero trust-oplossingen hanteren, die ervan uitgaan dat iedereen – zowel mens als apparaat – een risico is.
Maak cybersecurity onderdeel van de dagelijkse gang van zaken, in je procedures, in het opleiden en trainen van je medewerkers. Als je verbinding maakt in termen van training, de manier waarop je je systemen gebruikt, de manier waarop je je informatie verkent, heeft dat een directe impact op je cyberrisicoprofiel. Neem bovendien de hele product- of dienstlevenscyclus in ogenschouw en bedenk hoe je je cyberveiligheid in elke fase inricht. Dus niet alleen, hoe maak ik een veilig product of veilige dienst? Maar ook: hoe zorg ik dat het veilig blijft, met nieuwe updates om nieuwe kwetsbaarheden te voorkomen of op te lossen? Denk bij elke businessbeslissing óók na over wat het betekent voor de securitycomponent.
Goed risicomanagement en begrip van de businessimpact
Goed risicomanagement én begrip van de businessimpact van cyberrisico’s is key. Een risicobeheersplan zorgt ervoor dat je weet welke gebieden prioriteit moeten krijgen en waar je de middelen als eerste moet toewijzen. Het zal nooit honderd procent afgedicht zijn – dat kan gewoon niet – maar het stelt je wel in staat de juiste prioriteiten te stellen en investeringen te doen. Als je je risico’s goed in kaart hebt, kun je daar echt op sturen. Verder is communicatie belangrijk. Als het risico bij iedereen duidelijk is, de waarschijnlijkheid dat het kan gebeuren, de kosten om het te beheersen, de schade als het toch gebeurt…dan kun je als organisatie beslissingen nemen. En gebeurt er dan toch iets, kan niemand zeggen dat hij geen idee heeft. Het risico is gecommuniceerd, het was een bewuste keuze en vanaf daar ga je verder.
Invloed cybersecurity op deals
Regelgeving als DORA en NIS2 hebben ook invloed op deals. Als koper wil je snel weten wat al geregeld is bij de over te nemen partij of wat je dienovereenkomstig moet investeren om alles op standaardniveau te brengen. Vanuit de verkoper is er een reputatiebelang. Hoe zien we eruit als iemand van buitenaf naar ons kijkt? Wat kunnen we verbeteren aan ons imago? Cyberprogramma’s en risicobeheer kosten veel tijd. Maar als je als verkoper snel moet verbeteren, kun je enkele zaken in korte tijd doen om in ieder geval het cyberrisicoprofiel te verbeteren.
Bij private equity moet je meestal binnen drie tot vijf jaar de waarde creëren die nodig is voor verkoop. Voor kopers is het dan geruststellend te weten dat een private equitypartij een raamwerk van cyberbeveiliging heeft dat alle bedrijven in deze portefeuille moeten volgen. Als koper voer je zelf nog due diligence uit, maar zo’n raamwerk op voorhand draagt al bij aan de reputatie op de markt, als kwaliteitsproduct vanuit cyberoogpunt.
En na een deal is het belangrijk dat je tijdens de integratie van organisaties – als twee technologielandschappen samenkomen – zorgt dat er geen blinde vlekken zijn voor wie niemand zich verantwoordelijk voelt. Voorkom dode zones of gaten in het cyberrisicoprofiel van de nieuwe organisatie, maar ga ermee aan de slag en verbeter het profiel steeds weer als de situatie erom vraagt.
In een markt waar technologie niet alleen alle bedrijfsfuncties ondersteunt, maar ook nieuwe vormen van bedrijfsvoering mogelijk maakt en een concurrentievoordeel biedt, is het van essentieel belang om cyber risico op een gestructureerde manier aan te pakken. Het begrijpen van het cyberrisicoprofiel en het beheren van bijbehorende cyberrisico’s stelt organisaties in staat om middelen te prioriteren en toe te wijzen waar deze het meest nodig zijn.
In een snel ontwikkelend cyberdreigingslandschap, verder versterkt door generatieve AI, geopolitieke spanningen en aankomende regelgeving, draagt het zorgen voor een beheer van de cyberbeveiligingsfunctie in lijn met het bedrijfsrisico bij aan bedrijfsveerkracht en bescherming van bedrijfswaarde. Daarnaast bieden het vertrouwen van de markt, de naleving van regelgeving en de bereidheid om veilig nieuwe technologieën te adopteren voor concurrentievoordeel, kansen voor waardecreatie.
Auteurs
Angeli Hoekstra, Partner Cybersecurity & Privacy, PwC Netherlands
&
Andreia Veiga, Senior Manager Deals, PwC Netherlands
PwC is partner van de M&A Community
