De rol van de CFO is aanzienlijk veranderd door deze razendsnelle en digitaal getransformeerde wereld. Ondanks dat hun belangrijkste verantwoordelijkheden – zoals het controleren van de boekhouding en de overheadkosten – vroeger intern gericht waren, worden veel CFO’s nu betrokken in het cybersecurity proces. Deze focus op cyber security is ongelofelijk belangrijk omdat het van invloed is op de productiviteit en levensvatbaarheid van het bedrijf, twee belangrijke domeinen van de CFO.
Vandaag de dag is ieder bedrijf een digitaal bedrijf. Financiële prestaties zijn nauw verweven met een digitaal ecosysteem dat wordt aangedreven door het internet en de cloud. Met zulke rijke en gevoelige gegevens in de cloud, worden miljoenen dollars uitgegeven om deze gegevens te beschermen. Hierdoor krijgt de CFO meer belang bij risicobeperking en het bereiken van maximale productiviteit zodat het bedrijf soepel en zonder incidenten kan draaien. Laten we eens kijken naar deze twee factoren.
Risky business
Het doel van CFO’s is om de risico’s van het zakendoen te beperken. Hun belangrijkste doel is de bottom line te beschermen en de levensvatbaarheid van het bedrijf te waarborgen. Beiden staan op het spel als er een cyberaanval plaatsvindt. Uit een recent onderzoek is gebleken dat de gemiddelde ransomware-aanval een organisatie 1,1 miljoen dollar kost en dat verdere aanvallen en afpersingspogingen een zeer waarschijnlijk gevolg zijn van het betalen van het losgeld.
Cyberaanvallen worden steeds geraffineerder en de financiële gevolgen kunnen verwoestend zijn. Kijk bijvoorbeeld naar de recente Log4j-aanvallen. We zijn nog bezig met het evalueren van de financiële gevolgen, maar vergeet niet dat het Equifax 700 miljoen dollar kostte bij een datalek in 2017 waarbij 147 miljoen mensen werden getroffen.
De CFO moet zich niet alleen bezighouden met de financiële gevolgen van de aanval zelf, maar ook met de juridische kosten en de reputatieschade. De bezorgdheid van de consument over de veiligheid van zijn of haar persoonsgegevens na een inbreuk heeft veel bedrijven ernstige schade toegebracht en niet alle bedrijven hebben de weg terug kunnen vinden.
Het echte financiële verlies is de downtime van kritieke systemen en het gebrek aan productiviteit tijdens de uitval
Productief zijn
Bij een datalek kijkt de CFO naar de impact van het gestolen intellectuele eigendom. Het echte financiële verlies is echter de downtime van kritieke systemen en het gebrek aan productiviteit tijdens de uitval. Hier worden de voor de hand liggende technologische gaten en het volledige risicobeheerskader van de organisatie zichtbaar. In welke tools heeft de organisatie geïnvesteerd, welke interne processen zijn er, en hoe snel kan deze situatie worden opgelost voordat het bedrijf nog meer verlies lijdt? Dit is waar de CFO mensen, processen en hulpmiddelen moet evalueren.
Als industrie hebben we momenteel te maken met een tekort aan securityprofessionals waardoor organisaties grote risico’s lopen. Het toevoegen van cyber security aan de software ontwikkelfase is een belangrijke kans om risico’s te verminderen, te besparen op investeringen in securitytools en processen binnen interne IT-teams te verbeteren.
Niet langer levensvatbaar
In het verleden maakten ontwikkelaars applicaties die ze vervolgens ter controle en goedkeuring overdroegen aan securityteams, die de code vervolgens ofwel terugsturen voor wijzigingen of doorsturen naar het operationele team voor implementatie. Dat model is niet langer levensvatbaar: het kan het tempo van het moderne zakendoen gewoon niet bijhouden. Het veroorzaakt knelpunten en productiviteitsverlies, remt innovatie af en leidt tot frustratie.
In plaats daarvan legt een nieuw, wendbaarder model van applicatieontwikkeling de verantwoordelijkheid voor de security in de handen van de ontwikkelaars zelf, vanaf de planningsfase van de applicatie, bij de ontwikkeling van de code en tot en met de implementatie en het gebruik. Door security-overwegingen in elke fase van de softwareontwikkelingscyclus op te nemen, is er veel minder kans dat securitylekken ooit ontstaan. Tegelijkertijd kunnen gebreken sneller worden opgespoord en verholpen.
CFO’s moeten aan de cyber securitytafel zitten om risico’s te beperken
De CFO als cyber security-expert
CFO’s moeten aan de cyber securitytafel zitten om risico’s te beperken, ervoor te zorgen dat investeringen in technologie het bedrijf geld opleveren en interne processen te evalueren zodat de organisatie de vaardigheden van werknemers optimaal benut.
Het bijhouden van een actuele database van kwetsbaarheden die stappen kan bieden om de ontdekte problemen te verhelpen, is één manier om de bezorgdheid van de CFO over risico’s weg te nemen. Geautomatiseerde scanning verhoogt de security van software, vermindert het risico op data-inbreuken en de daaruit voortvloeiende verstoring van de bedrijfsvoering en reputatieschade. Het levert ook een zeer gezonde productiviteitswinst op, wat weer van bijzonder belang is voor CFO’s.
Belangrijk aandachtsgebied
De manier waarop interne securityteams zijn gestructureerd en hoe de tijd en kennisgebieden van de teams kunnen worden gemaximaliseerd, is ook een belangrijk gebied waaraan CFO’s aandacht moeten besteden. Ooit was het opschalen van securityteams een zeer uitdagende en dure aangelegenheid. In modernere organisaties krijgen ontwikkelaars de bevoegdheid om de meeste securityroblemen aan te pakken. Hierdoor kunnen interne securityteams zich richten op grootschalige problemen en hun nieuw vrijgekomen tijd besteden aan het coördineren en trainen van ontwikkelaars in hun securitybedrijf en het aanpakken van niet-technische securitykwesties rond governance en beleid.
Ontwikkelaars tot eerstelijns-beveiligers maken is een logische reactie op het tekort aan cybersecurity professionals, en voegt cybersecuritybereidheid en -preventie toe aan de ontwikkelingsfase. DevSecOps helpt de CFO ook naar het hele ecosysteem te kijken om ervoor te zorgen dat de bedrijfsvoering gezond is en het bedrijf kan floreren.
Auteur: Ken MacAskill, CFO Snyk
