Hoe ga je als accountant het gesprek aan met ondernemers die cybercriminaliteit onderschatten? Max Platvoet maakt het vrijwel dagelijks mee. De senior manager IT audit & analytics bij Moore DRV adviseert over en begeleidt bedrijven bij vraagstukken over AVG, datalekken, netwerkscans en IT audits. De ervaringsdeskundige deelt tips hoe hij onderschatting bij cliënten aanpakt.
Koudwatervrees. Een gebrek aan kennis of het niet helemaal snappen hoe cybercriminelen werken. Het zijn volgens Max Platvoet, senior manager IT audit & analytics van Moore DRV, de voornaamste redenen waarom cybersecurity niet top of mind is bij ondernemers. ‘Heel veel organisaties denken dat cybercriminaliteit hen niet overkomt. Of ze gaan ten onrechte uit van digitale veiligheid, omdat “iemand hun IT-zaken regelt”. Het gebrek aan kennis over cybersecurity maakt ondernemers naïef. Er zijn daarnaast ondernemers die gewoon het gesprek niet willen voeren of niet willen aannemen dat cybersecurity een serieus bedrijfsrisico vormt. Wat de reden ook is: de impact van een cyberaanval wordt veel te vaak ernstig onderschat.’
Nieuwe cyberwetgeving
Platvoet, die naast accountant ook docent IT & Financial Audit op Nyenrode Business Universiteit is, heeft als taak om lastige situaties binnen ondernemingen helder te analyseren én als vertrouwenspersoon voor zijn cliënten vooruit te denken. Hij wijst hierbij op de nieuwe cyberwet (NIS2) die ondernemers dwingt om de risico’s van cybercrime in beeld te brengen en af te dekken. ‘Een directeur moet straks kunnen vaststellen of hij voldoende maatregelen heeft genomen om cybercriminelen buiten de deur te houden. Dat is natuurlijk een grote uitdaging als hij nu de boel nog onderschat of geen kennis van zaken heeft.’
Hoe heeft de nieuwe richtlijn voor cybersecurity (NIS2) impact op jou als accountant?
Download hier onze gratis whitepaper
Uitdagingen voor accountants
Het niet serieus bezig zijn met cybersecurity brengt ook voor accountants behoorlijke uitdagingen met zich mee. Zij moeten immers bedrijfsrisico’s inschatten en advies hierover geven. ‘Vanuit onze zorgplicht moeten wij onze klanten actief bevragen hoe het met hun cybersecurity is gesteld. De gesprekken die ik hierover voer, stemmen me niet altijd vrolijk. Ik hoor nog dagelijks ondernemers zeggen dat “IT steeds belangrijker wordt”. Dat veronderstelt dat het óóit belangrijk gaat zijn. Als nu echter de wifi of een operationele applicatie uitvalt, stopt de wereld voor veel bedrijven al met draaien. IT is voortaan een serieuze levensbehoefte. Dit hangt natuurlijk samen met de grote mate van automatisering in ons leven.’
‘Een andere aanpak is wenselijk’
Hij weet uit ervaring dat zodra een bepaald thema een wettelijke plicht wordt, ondernemers in de actiestand schieten. ‘Zo zagen we ook bij de AVG gebeuren. Helaas worden adviespunten nog steeds niet altijd opgevolgd, met grote bedrijfsrisico’s van dien. Een andere aanpak door accountants is wenselijk om ondernemers beter te helpen bij het verlagen van hun bedrijfsrisico’s. Al was het maar omdat cybercriminelen steeds meer slachtoffers maken en jaarlijks miljarden euro’s buitmaken.’
Intrinsieke motivatie
Platvoet zet in “zijn aanpak” nadrukkelijk in op normstelling. Hij licht toe hoe accountants deze aanpak bij hun klanten kunnen toepassen: ‘Bij elke verandering geldt: je moet intrinsiek gemotiveerd zijn om structureel vooruitgang te kunnen boeken. Zie je de gewenste gedragsverandering nog niet? Praat dan met de ondernemer wat hem beweegt en wat zijn normen zijn. Dit doe je aan de hand van concrete vragen; Wat mag cybercriminaliteit jouw bedrijf kosten? Wat kost het bijvoorbeeld als jouw bedrijf een dag niet kan draaien door hackers? Welke maatregelen wil je nemen om dit te voorkomen? Hoe snel wil je als bedrijf weer up and running zijn na een cyberaanval? Hoeveel imagoschade vind je acceptabel en wat gaat te ver? Is het bijvoorbeeld erg als jouw klant- en medewerkersgegevens op straat liggen na een hack? Is dat alleen erg als het voor één klant of één medewerker gebeurt of pas als het om alle klanten en alle medewerkers gaat? En welke gegevens wil je wel en niet beveiligen: alle NAW-gegevens of ook de salarissen of facturen aan klanten?’
Risico’s juist inschatten
Ondernemers zullen zo zelf het gewenste inzicht krijgen en cyberrisico’s beter gaan inschatten. ‘Belangrijk is het dat een ondernemer zijn eigen normen stelt. Prima als iemand zijn salarisadministratie wél wil beveiligen, maar het smoelenboek op intranet niet. Hij heeft er in elk geval zelf goed over nagedacht en handelt op basis van wat hij zelf wil. Dat is intrinsieke motivatie. Zodra je dus dergelijke concrete vragen aan je klant voorlegt, kom je met hem in het goede gesprek terecht. Hij gaat zelf zien welke deelgebieden in zijn organisatie nog aandacht nodig hebben. Jij helpt zo de risico’s rondom cybercriminaliteit inzichtelijk te maken én creëert tegelijkertijd cyber awareness.’
Monitoring cyberrisico’s
Platvoet ondersteunt bedrijven bij het maken van risicoprofielen. Voor de monitoring van cyberrisico’s verwijst Moore DRV ondernemers door naar bedrijven die hierin gespecialiseerd zijn, zoals Lupasafe. ‘Bedrijven vragen ons hoe cyberveiligheid goed aan te pakken. Ze willen koste wat kost voorkomen dat hun goede naam ooit te grabbel ligt door cybercriminelen en zijn serieus bezig om stappen te maken. Maar zoals gezegd: velen onderschatten helaas nog de ernst van de cyberdreiging. Hopelijk heb ik accountants een slim haakje kunnen geven om met hun klanten op een andere manier het gesprek aan te gaan. Cyberveiligheid vraagt écht honderd procent aandacht.’
Hoe heeft de nieuwe richtlijn voor cybersecurity (NIS2) impact op jou als accountant?
Welke risico’s loopt je kantoor als je er niet aan voldoet? En hoe verhoog je je eigen cyberveiligheid én die van je klanten? Hoe je deze kansen kunt grijpen, vertellen we in deze whitepaper. Je krijgt volop feiten en achtergrondinformatie. Uiteraard lees je ook wat je als accountantskantoor precies kunt doen om in control te zijn (en blijven) van cyberrisico’s. En hoe je dit slim toepast in je dienstverlening, waardoor je nóg aantrekkelijker wordt voor je klanten. Klik hieronder op de afbeelding om de whitepaper te openen.
Geef een antwoord