Advies PwC aan financiële instellingen: Processen zijn cruciaal bij het werken aan cybersecurity


Financiële dienstverleners communiceren steeds vaker via digitale middelen met hun klanten. Dit maakt cybersecurity en dataprivacy relevanter dan ooit. “De samenleving verwacht dat bedrijven adequate maatregelen nemen op dat gebied”, zegt Sergio Hernando, verantwoordelijk voor cyber bij PwC’s Financial Services Group. “Het werken aan vertrouwen moet de hoogste prioriteit krijgen. Financiële instellingen moeten daarom speciale aandacht besteden aan hun bedrijfsprocessen.”

Cybersecurity en dataprivacy worden volgens hem hoofdzakelijk bepaald door een combinatie van drie elementen: mensen, processen en technologie. “Organisaties hebben goede mensen nodig met de juiste kennis en vaardigheden. Bedrijven moeten ook over betrouwbare processen beschikken om te zorgen dat zij tegen een stootje kunnen, vooral als het gaat om kosteneffectiviteit, communicatie en risicomanagement.”

Goede communicatie met de directie

Sergio Hernando: “Als wij naar processen kijken, onderscheiden wij drie belangrijke gebieden. Allereerst is het van belang dat cyberspecialisten van organisaties blijven werken aan het contact en de communicatie met de directie. Het gebeurt nog vaak dat het management van cyberspecialisten technische informatie krijgt zonder dat duidelijk is wat daarvan het belang is voor de bedrijfsrisico’s of de digitale strategie. Directies willen graag informatie waaruit blijkt welke impact de uitgaven aan cybersecurity hebben op het risicoprofiel van de onderneming. Of ze willen cijfers over de kosten van het aanpakken van een bepaald veiligheidsrisico.”

Directies zijn volgens hem ook geïnteresseerd in manieren waarop zij de impact kunnen meten van inspanningen op het gebied van cybersecurity, bijvoorbeeld op het maatschappelijke vertrouwen of op de reputatie van hun merk. “Dus wij adviseren bedrijven en in het bijzonder de cyberspecialisten van die bedrijven om hier echt goed over na te denken.”

Koppel cyberrisico’s aan zakelijke risico’s

“Bij financiële instellingen moeten cyberrisico’s gekoppeld worden aan operationele risico’s, compliance risico’s en ‘overall’ zakelijke risico’s, omdat dit belangrijke componenten zijn van hun bedrijfsvoering”, vervolgt Hernando. “ Als er geen dialoog is met de directie over dit soort onderwerpen, leidt dat op den duur tot een verlies aan betrokkenheid. Daardoor mist het bestuur de mogelijkheid om de onderneming te sturen op grond van informatie over cybersecurity en de situatie rondom privacy, en de invloed die dat heeft op het gevoerde risicomanagement.”

 In een recent wereldwijd onderzoek van PwC bleek dat slechts 27% van de respondenten werkzaam bij financiële instellingen het vertrouwen dat de juiste data over cybersecurity wordt gerapporteerd aan het bestuur. “Er is dus zeker nog ruimte voor verbetering.”

Breng veiligheidsdoelen in lijn met zakelijke doelen

Het tweede element dat verband houdt met de processen vloeit voort volgens Hernando uit het eerste. “Als de cyberspecialisten in een onderneming de relatie met het bestuur willen verbeteren door relevante informatie te bieden, moeten zij veiligheidsdoelen afstemmen op zakelijke doelen. Dat wordt gedaan door de cyberstrategie in lijn te brengen met de digitale strategie, en uiteindelijk ook met de zakelijke strategie.”

Hij geeft een voorbeeld: “Stel, dat een financiële instelling besluit om een nieuwe mobiele applicatie te lanceren. Dan moeten alle veiligheids- en privacymaatregelen worden georganiseerd rond dat zakelijke doel en in dienst staan van het vergroten van de betrokkenheid en de  tevredenheid van de klanten. Dat omvat gebruiksgemak en het versterken van de relaties, maar ook de mogelijkheid om klanten beter te leren kennen. Ook het bieden van prettige en complete ervaringen voor gebruikers zijn belangrijk. Tegelijkertijd moet gezorgd worden dat de digitale veiligheid, compliance en privacy gewaarborgd zijn.”

Het gaat niet alleen om cyber

Veiligheidseisen moeten naar de mening van Hernando in overeenstemming worden gebracht met zakelijke doelen en deze niet in de weg staan. “Een heel veilige applicatie die omslachtig is en niet aantrekkelijk in het gebruik wordt geen succes. Bovendien, als organisaties over goede cybersecurity beschikken, kunnen zij die gebruiken als zakelijk vehikel waarmee zij zich richten tot de eigen aandeelhouders en de markten waarin zij actief zijn. Het kan zelfs leiden tot een verbetering van de aandeelhouderswaarde en resulteren in betere contacten met toezichthouders. Het gaat er uiteindelijk om dat veiligheid gekoppeld is aan de zakelijke doelen van een organisatie.”

 Cyber is volgens hem geen doel op zich, maar een instrument waardoor de onderneming veilig en betrouwbaar kan functioneren en in compliance is met de wet- en regelgeving. “Er is nog een reden waarom het belangrijk is om de veiligheidsdoelen en zakelijke doelen aan elkaar te koppelen. Het helpt organisaties om sneller te reageren op nieuwe trends en bekort de tijd om nieuwe producten en diensten op de markt te brengen.”

Bouwen aan vertrouwen

Het derde en laatste aspect dat Hernando wil noemen, is het creëren van vertrouwen rond consumentendata. “Ondernemingen verzamelen grote hoeveelheden digitale gegevens van consumenten. Daarbij kunnen ook gegevens zitten over het gedrag van consumenten bij het gebruik van bepaalde diensten. Als gevolg hiervan zien we nu businessmodellen ontstaan die het voor ondernemingen mogelijk maken om klanten op maat aanbiedingen te doen die gebaseerd zijn op het individuele gebruik van bepaalde diensten. Dit levert een uitdaging op voor ondernemingen. Aan de ene kant willen zij de data optimaal benutten. Aan de andere kant mag dat niet leiden tot een schending van het vertrouwen in de onderneming of een inbreuk op de privacy van individuele klanten. Dat is een rode lijn die niet mag worden overschreden.”

Transparantie over gebruik data

“Daarom is het belangrijk dat bedrijven beleid ontwikkelen over de omgang met gegevens van klanten. Wij noemen dat data-governance”, vervolgt Hernando. “Ondernemingen moeten werken aan het vertrouwen over de manier waarop zij omgaan met de gegevens van klanten. Zij moeten transparant zijn en uitleggen: dit is ons doel, deze data gebruiken wij, dit is wat wij ermee doen. Ondernemingen zouden consumenten inzicht en controle moeten geven over hun persoonlijke gegevens. Zodat klanten kunnen zeggen: ik wil dit niet, ik wil geen aanbiedingen krijgen, ik ga niet akkoord met het gebruik van mijn gegevens. Bedrijven moeten transparant zijn, want klanten hebben het recht om te weten wat er met hun gegevens gebeurt en om te kunnen beslissen over hun eigen data en hun eigen privacy.”

Evenwicht tussen commercie en ethisch handelen

Hernando: “Bedrijven moeten dus een evenwicht vinden tussen enerzijds het commerciële gebruik van de klantgegevens en anderzijds het eigen ethisch handelen, het respecteren van de wet en het beschermen van de privacy van klanten. Dat is geen onmogelijke taak, maar het is niet eenvoudig omdat er verschillende disciplines bij betrokken zijn, zoals technologie, privacy, cyber, data, business, legal en marketing. Het is te groot en veelomvattend voor één team. Maar het is overduidelijk zeer belangrijk en moet worden aangepakt op een zorgvuldige en effectieve manier.”

In het rapport PwC Digital Trust Insights, dat in oktober 2018 werd gepubliceerd, staan aanbevelingen over de manier waarop processen in ondernemingen kunnen worden verbeterd voor een betere cybersecurity. Het rapport is gebaseerd op een wereldwijd onderzoek onder drieduizend topbestuurders van ondernemingen. U kunt het rapport hieronder downloaden: https://www.pwc.com/us/en/services/consulting/assets/journey-to-digital-trust.pdf.