Accountant moet bestuur bevragen over cybersecurity
De accountant moet bestuurders en interne toezichthouders bevragen over cybersecurity en de belangrijkste conclusies daarover opnemen in de managementletter. Ook moet de accountant cliënten indelen naar cybersecurity-risico en op basis daarvan de controleaanpak aanpassen. Dat schrijft de NBA in een publicatie over risico's van cybersecurity.
De accountant moet bijdragen aan de bewustwording in de organisatie ten aanzien van digitale risico’s, aldus de NBA. Het opnemen van de belangrijkste conclusies over cybersecurity in de managementletter is in lijn met de wettelijke verplichting om bevindingen over betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking te melden.
Medewerkers zwakste schakel
Voor elk organisatie die online actief is geldt niet zozeer de vraag of je wordt gehackt, maar wanneer en hoe vaak. In 2015 groeide het aantal cybersecurity-incidenten met bijna 40 procent. De meeste incidenten hebben betrekking op DDoS aanvallen, misbruik van gebruikersrechten, toegang tot gevoelige gegevens en het omzeilen van beveiligingsmaatregelen.
Ook mkb-bedrijven, gemeenten, zorginstellingen, energiebedrijven en particulieren worden steeds vaker getroffen door cybercrime. Vaak blijken medewerkers de zwakste schakel in de beveiliging te zijn. Aanvallers maken gebruik van zogenaamde social engineering (zoals spearphishing) om medewerkers te verleiden bedrijfskritische gegevens met hen te delen.
Kroonjuwelen
Cybersecurity hoort op elke bestuursagenda te staan, meent de NBA. Bestuurders moeten cybersecurity beter inbedden in hun strategie en risicobeleid en verankeren in de organisatie. Daarbij moet de focus worden gelegd op vitale onderdelen, processen en data.
De digitale beveiliging van veel bedrijven gaat uit van een aanpak die gelijk is voor alle digitale bedrijfsmiddelen, zonder onderscheid naar belang en waarde. De ‘kroonjuwelen’ van de organisatie, zoals de webshop, operationele of financiële data en de persoonsgegevens van klanten, verdienen een aparte aanpak. Risico’s moeten hiervoor beter in kaart worden gebracht. Op grond daarvan kunnen scenario’s gedefinieerd worden die potentiële aanvallers bewandelen.
Publicatie
De publieke managementletter over cybersecurity Van hype naar aanpak is onderdeel van een reeks uitgaven van de NBA, waarin signalen en aanbevelingen aan sectoren worden afgegeven. Eerder zijn onder andere publicaties uitgebracht over Vastgoed, Glastuinbouw, Gemeenten, Goede doelen, Transport & Logistiek, het MBO onderwijs, Life Sciences, Banken, de Zorg en de Horeca.
Gerelateerd
Accountants moeten meer oog krijgen voor 'cloudsoevereiniteit'
Nederlandse organisaties lopen risico's, doordat zij op grote schaal hun data bij Amerikaanse bedrijven onderbrengen. Amerikaanse wetgeving maakt het mogelijk om...
Minder oplichting via nep-bankhelpdesks, maar nog miljoenen schade
Fraude door oplichters die zich voordoen als medewerkers van banken en zo klanten geld afhandig maken, blijft een hardnekkig probleem. Banken leden vorig jaar 28...
Een op de vijf bedrijven betaalde losgeld voor gijzelsoftware
Criminele bendes hebben vorig jaar 147 succesvolle aanvallen met gijzelsoftware uitgevoerd op grote Nederlandse bedrijven en instellingen. In 18 procent van de gevallen...
Aon: Cybercrime, personeel en continuïteit grootste risico's voor bedrijven
Het Nederlandse bedrijfsleven beschouwt cybercriminaliteit, continuïteit, het tekort aan arbeidskrachten en het onvermogen om talentvolle medewerkers aan te trekken...
Aantal phishingpogingen bij bedrijven bijna vertienvoudigd
Het aantal pogingen tot phishing bij Nederlandse bedrijven is op weekbasis bijna vertienvoudigd, in vergelijking met een jaar eerder. Dat stelt telecomaanbieder...