Column Ernst Veen: Regelt jouw accountant je security?

De Nederlandse accountantskantoren beginnen iets nieuws: een IT-check voor digitale veiligheid bij bedrijven. Moeten cybercriminelen nu ander werk zoeken? Het idee komt van Norea, de beroepsvereniging van IT-auditors: een IT-check voor bedrijven die volgens een bericht in het FD duidelijk moet maken in hoeverre een onderneming bestand is tegen hackers en andere ernstige IT-problemen. De check wordt uitgevoerd door accountantskantoren en vervolgens kunnen banken en investeerders dit gebruiken bij hun beslissing om te investeren in een bedrijf. De check wordt  een controle op vastgelegde normen. Zijn alle vakjes afgevinkt? Dan is iedereen tevreden.

Nederland is kwetsbaar

Tja, wat moeten we hiervan denken? De eerste reacties zijn positief.  Het initiatief wordt volgens het FD gesteund door bedrijven, banken, investeerders en de grote accountantskantoren. Het is op zich hoopgevend dat het besef groeit dat bedrijven kwetsbaar zijn voor cybercrime. Want net als een pandemie kan ook een digitale aanval enorme schade aanrichten.

Nog meer compliance?

Nederland is extra kwetsbaar als een van de meest gedigitaliseerde landen ter wereld. En dus moeten we voorop lopen in de controle op digitale beveiliging, zo zegt Norea-bestuurder Marc Weltens. Inderdaad: Nederland is kwetsbaar. Maar met alle respect: de meeste accountants kennen cybersecurity hoogstens van horen zeggen. Cybersecurity is werk voor IT-experts die dagelijks bezig zijn met échte digitale beveiliging. Je laat toch ook niet je jaarrekening opstellen door je netwerkbeheerder? Bovendien is zo’n IT-check een momentopname en afhankelijk van zaken als branche , omvang van je organisatie en wat essentieel is voor jouw bedrijfsvoering. Meer aspecten dan je afdekt in een checklist. Daarnaast wil je juist naar een situatie waarbij er structureel aandacht wordt besteed aan cybersecurity. Dat vraagt ook inhoudelijke kennis van een auditor.

Koffiedik kijken

Verder gaan de IT-auditors ook kijken naar het nieuwe boekjaar en bepalen of de IT toekomstbestendig is, zo claimt Norea. Dat is heel knap. Bij Tesorion brengen we dagelijks nieuwe gevaren in kaart. Want malware kan veel sneller muteren dan coronavirussen. En terwijl je dit leest, werken geslepen hackers aan nieuwe cyberaanvallen. Daar kun je 100 procent zeker van zijn. Als zo’n aanval komt, moeten er dingen worden aangepast in de IT. Hoe sneller hoe beter! Maar mag een Nederlandse security-expert dat straks nog wel? Of moet er eerst toestemming komen van het accountantskantoor? Je begrijpt het al: ik zie niet veel in die nieuwe IT-check. Bedrijven die veilig willen werken, investeren in echte beveiliging. Want uiteindelijk gaat het maar om één ding: cyberschade voorkomen. Daar moeten we ons op focussen. Dus, wat voegt een verklaring toe? Hij is handig bij het vingerwijzen achteraf. Oké, er is een ramp gebeurd, maar dat is niet onze schuld want wij voldeden aan alle normen. Maar als je bedrijf dagenlang platligt, scoor je niet met dit soort uitvluchten. Ernst is Marketing Manager bij Tesorion, in zijn column schrijft hij over innovatie, cybersecurity, cloudcomputing, cyberresilience en security-awareness.   (Dit artikel verscheen eerder in ITchannelPRO magazine nummer 3)