zicht op toezicht: cybersecurity

Zicht op toezicht

Arjen Dorland ”Een commissaris kan heel goed leren wat de juiste vragen zijn“

Eric Verheul ”Aandacht voor veiligheid gaat verder dan internet“ Kees Verhoeven ”Je moet beginnen aan de basis“

Cybersecurity

Zomer 2015

Inhoud Zijn commissarissen voldoende toegerust voor cybersecurity? Arjen Dorland (onder andere commissaris bij Robeco) geeft concrete handvatten voor het houden van toezicht op cyber security, ook voor commissarissen waarvan de IT-kennis beperkt is.

Cybersecurity: enkele overpeinzingen door Marcel van Loo Marcel van Loo (Country Managing Partner van EY Nederland) geeft enkele overpein zingen bij het ecosysteem van cybersecurity, dat zo sterk is als de zwakste schakel.

Aandacht voor veiligheid gaat verder dan internet Eric Verheul is parttime hoogleraar Financial Information Security aan de Radboud Universiteit Nijmegen. Verheul benadrukt dat alleen focussen op cybersecurity onverstandig is en dat organisa-ties te weinig bereid zijn om functionaliteit in te leveren ten behoeve van betere beveiliging.

Interview met Kees Verhoeven: veel cybersecurity is low-techKees Verhoeven (Tweede Kamerlid voor D66) bepleit terughoudendheid in wet geving op het gebied van het tegengaan van cybercrime. De basale bestaande mogelijkheden voor be-scherming worden nog lang niet optimaal benut.

8

22 24

15

2 Zicht op Toezicht 2015

4

6

11

19

27

29

30Het Nationaal Commissarissen Onderzoek Wat betekent de accountant voor de commissarissen

Een IT-wizard in elke raad van commissarissen! Column door Auke de Bos

Over kroonjuwelen, commis sarissen en accountants Guill van den Boom en Ad Buckens

Het begint met het stellen van een aantal simpele vragenInterview met Paul van Kessel, Global Risk Leader bij EY Advisory Services

Commissaris en cybersecurity: de visie van Hanny Kemna

Cybersecurity is een race die vooralsnog geen einde kent Interview met Ben Verwaayen (onder andere commissaris bij AkzoNobel)

Make sure you are cybersecure! Voorwoord door Auke de Bos

12Het courante adagium bij cybersecurity is ‘detect, respond en recover’ Tony de Bos en Marc Welters

18Commissaris en cybersecurity: de visie van Jan Nooitgedagt

3Cybersecurity

Voorwoord

Cybersecurity is een hot topic in de bestuurs kamers. Het onderwerp raakt dus ook de toezichtstaak

van commissarissen. Toch zijn IT en cyber-security moeilijke materie voor veel commissarissen. Welke informatie verdient bescherming? Hoe moet dat worden aangepakt? En hoe moet daar effectief toezicht op worden gehouden? Dat zijn belangrijke vragen waarmee commissarissen worden geconfronteerd. Wij hopen met deze editie van Zicht op Toezicht prikkels te bieden om over cybersecurity na te denken. Net als in voorgaande edities behandelen wij het onderwerp vanuit diverse invalshoeken: vanuit commissarissen, vanuit (voormalig) bestuurders, vanuit experts, vanuit de politiek en vanuit de wetenschap.

Wij starten met interviews met top-commissarissen Ben Verwaayen (onder

Make sure you are

Prof. dr. Auke de Bos RAVoorzitter Professional Practice Group

Zicht op Toezicht is een uitgave van EY

RedactieAuke de Bos, EYMarloes Peeters, EYLuc Quadackers, journalist

Ontwerp en vormgevingBVH

DrukwerkGianotten Printed Media

RedactieadresEY T.a.v. Brand, Marketing & CommunicationsPostbus 4883000 AL Rotterdam

©2015 EYArtikelen en uitspraken uit deze uitgave mogen zonder voorafgaande schriftelijke toestemming van EY niet worden over-genomen.

Kijk voor meer informatie op www.ey.com/nl

Colofon


andere commissaris bij AkzoNobel) en Arjen Dorland (onder andere commissaris bij Robeco). Ben Verwaayen schetst een beeld van de ontwikkelingen in cyber security en het ontstaan van het besef dat alle sectoren er inmiddels mee te maken hebben. Arjen Dorland geeft concrete handvatten voor het houden van toezicht op cyber-security, ook voor commissarissen waarvan de IT-kennis beperkt is. Beide commissarissen gaan in op het nut en de nadelen van transparantie over cybersecurity.

De wetenschappelijke invalshoek wordt geleverd door hoogleraar Eric Verheul. Verheul benadrukt dat alleen focussen op cybersecurity onverstandig is en dat organisaties te weinig bereid zijn om functionaliteit in te leveren ten behoeve van betere beveiliging. De politieke invalshoek wordt verzorgd door Kees Verhoeven, Tweede Kamerlid voor D66. Hij bepleit

terughoudend heid in wetgeving op het gebied van het tegengaan van cybercrime. De basale bestaande mogelijkheden voor bescherming worden nog lang niet optimaal benut. Verder delen commissarissen Hanny Kemna en Jan Nooitgedagt in het kort hun visie over commissaris en cybersecurity.

Ook enkele van onze thought leaders leveren een bijdrage. Tony de Bos en Marc Welters verkennen het terrein van cybersecurity en zorgen voor een inbedding in de bredere informatiebeveiliging. Diverse soorten cyber-crime en bedreigingen passeren de revue. Zij beklemtonen dat bescherming niet meer voldoende is. Het gaat tegenwoordig vooral om ‘detect, respond en recover’. Guill van de Boom en Ad Buckens vertellen hoe commissarissen kunnen letten op de kroon-juwelen van een organisatie en wat de accountant daarbij kan betekenen. In een vraaggesprek spreekt Paul van Kessel over

de positieve en negatieve aspecten van cyber space, het oppikken van signalen en het stellen van de juiste vragen. Marcel van Loo, onze Country Managing Partner, geeft enkele overpeinzingen bij het ecosysteem van cyber security, dat zo sterk is als de zwakste schakel. Het thema wordt afgesloten met een bijdrage van mijn hand. In mijn column pleit ik voor het toevoegen van een ‘IT-wizard’ aan raden van commissarissen. Ik ga daarover graag het gesprek aan. Net als ieder jaar bevat de Zicht op Toezicht ook een samenvatting van het Nationaal Commissarissen Onderzoek. Het onderzoek staat dit jaar in het teken van de rol van de accountant.

Ik hoop dat u door het lezen van deze Zicht op Toezicht enkele nieuwe ideeën krijgt over de weg naar een optimale cybersecurity.

cybersecure

5Cybersecurity

Ben Verwaayen is partner bij tech investment fonds Keen Venture Partners en commissaris bij AkzoNobel, Akamai en Bharti Airtel. Hij heeft veel ervaring in de telecomsector en was onder andere CEO van Alcatel-Lucent van 2008 tot 2013. Hoe kijkt hij aan tegen de ontwikkelingen in cybersecurity? Auke de Bos vroeg het hem.

Wanneer moest u als bestuurder voor het eerst echt nadenken over cybersecurity?‘Dat gebeurt meestal als je eerst een bloedneus hebt opgelopen. Bij mij was dat ongeveer 20 jaar geleden. Ik was toen zeer actief in netwerkbedrijven. De klanten van die bedrijven moeten er voor honderd procent van uit kunnen gaan dat de netwerken stabiel zijn. Als dat een keer niet gebeurt dan heeft dat grote gevolgen voor het consumenten-vertrouwen. Het ging twintig jaar geleden nog niet zo zeer over de integriteit van systemen of over kwade bedoelingen op grote schaal. Het waren meer problemen in technische zin, dingen die fout gingen, werknemers die verstoringen creëerden. Vooral interne zaken, dus. Naarmate de professionaliteit aan de kant van de hackers toenam werd het probleem steeds meer divers.’

Is er een omslagpunt aan te wijzen in de aandacht voor cybersecurity?‘Het meest prominente moment vond ik een oproep tijdens het World Economic Forum, ongeveer 7 jaar geleden. John Chambers, CEO van Cisco, benoemde daar twee soorten

Cybersecurity is een race die vooralsnog geen einde kent

Interview Ben Verwaayen


Het gaat eigenlijk gewoon over belangstelling

bedrijven: bedrijven die zijn gehackt en bedrijven die nog niet weten dat ze zijn gehackt. Dat is een duidelijk statement. Tijdens het forum begon iedereen te beseffen dat cyber-security een probleem is voor alle soorten organisaties. Het probleem kwam in volle omvang naar voren en de kwets baar heden in de verdediging werden meer duidelijk. Als gevolg van dat besef zijn de elementen die te maken hebben met cyber security sterk gestegen op de bestuurs agenda.’

Hoe blijf je als organisatie ‘on top of things’ rond cybersecurity?‘Het is een race die vooralsnog geen einde kent. Elke dag komen er nieuwe belangrijke elementen bij. Zo wordt de aandacht voor cybersecurity niet alleen veroorzaakt door private slechteriken. Ook staten bemoeien zich ermee. Dat maakt het ingewikkelder. Cybersecurity vraagt om verdediging, maar het is ook steeds meer een kwestie van plannen. Organisaties moeten vooraf inschatten wat er staat te gebeuren en daar adequaat op inspelen. Dat is niet meer alleen een kwestie van technologie, wat natuurlijk

nog steeds een belangrijk element is, maar het gaat zeker ook om gedrag.’

Kunt u daar een voorbeeld van geven?‘Er moet meer openheid komen. Het meer delen van informatie is volgens mij de volgende grote stap in het streven naar cybersecurity. Organisaties zijn nu nog terughoudend in het melden van cybers ecurity-issues aan de buiten wereld. Bijvoorbeeld, hoe vaak vinden aanvallen plaats, en hoe, en wat zijn de dingen die worden ontdekt? Dat soort zaken wordt op dit moment wel gedeeld met soortgelijken, maar nog niet met de belang hebbenden daar buiten. De openheid zal meer als positief moeten worden gezien en niet als negatief. Het met elkaar delen maakt het gemakkelijker voor specialisten om de bescherming te verbeteren. Op basis van vrij willigheid is de

transparantie nog beperkt. Men denkt daarom nu na over het instellen van wet geving op dat gebied, zowel in Europa als in de Verenigde Staten.’

Waarom wordt er nog weinig vrijwillig gedeeld?‘De reden ligt eigenlijk voor de hand. Als bekend wordt dat een klantenbestand is gestolen, dan

aangepakt door media en samenleving. Het wordt als een schande gezien. Maar dat is dus niet terecht. Elke organisatie loopt namelijk de kans om het slachtoffer te worden van cybercrime. Daarom moeten we erover nadenken hoe we daarmee omgaan.’

Wie draagt daarvoor verantwoordelijkheid?‘De verantwoordelijkheid voor een meer gezonde houding ligt bij alle deelnemers aan de economie. Ter vergelijking: verkeers-ongelukken gebeuren nu eenmaal. Dat is geaccepteerd. Evengoed gebeuren ongelukken in de ontwikkeling van de economie. We zullen daar allemaal op een verstandige manier mee om moeten gaan.’

Hoe wordt het onderwerp in de bestuurskamers geagendeerd?‘Het management is al zeer actief met het onderwerp bezig. Men is zich ervan bewust dat het een issue is. Aan de toezichtkant mag het onderwerp nog wel meer aandacht krijgen, de goeden niet te na gesproken.’

Wat voor vragen moeten commissarissen stellen?‘Het onderwerp moet allereerst natuurlijk op de agenda worden gezet. Vervolgens kunnen daarover belangrijke vragen worden gesteld. Welk programma heeft de organisatie voor cybersecurity? Wat is er gebeurd in het ver-leden en wat zijn de lessen die daaruit moeten worden getrokken richting de toekomst? Hoe wordt geïnvesteerd in bescherming van data en netwerken? Het gaat trouwens zeker niet alleen om vragen over de technische kant, maar ook over het opleiden van personeel en over het nadenken over awareness campagnes.’

Welke eigenschap van een commissaris is belangrijk voor het stellen van de goede vragen?‘Het gaat eigenlijk gewoon over belangstelling. Het tonen van belangstelling is een groot deel van wat een toe zicht houder moet doen.’

7Cybersecurity

Zijn commissarissen voldoende toegerust voor cybersecurity?

Cybersecurity staat meer dan ooit op de radar van bestuurders en toe-zichthouders. Dat komt onder andere door sterk veranderende business modellen die steeds meer gebruikmaken van internet. Met alle risico’s van dien, bijvoorbeeld reputatieschade door cyberdiefstal van klantge-gevens. De nieuwe risico’s vragen extra aandacht van commissarissen. Maar zijn die daarvoor voldoende toegerust? Auke de Bos in gesprek met Arjen Dorland, een IT-deskundige commissaris.

Security Raad. De Cyber Security Raad heeft als taak om de regering en private partijen gevraagd en ongevraagd adviezen te geven over relevante ontwikkelingen op het gebied van digitale veiligheid.


Is er voldoende IT-kennis aanwezig binnen raden van commissarissen?‘Behalve bij de echte technologie-bedrijven bestaat de gemiddelde raad van commissarissen uit

business achter grond. Commissarissen zijn vaak geen specialist op het gebied van IT. Toch is steeds meer IT-kennis gewenst als gevolg van de ont-wik kelingen in bedrijfsmodellen en informatie technologie. Veel organi saties zijn daarom op zoek naar commissarissen die verstand hebben van IT in brede zin en van IT-security. Die commissarissen zijn relatief zeld zaam. Ze weten tot vrij diep in de techniek wat er wel en niet kan. Die kennis is toch anders dan die van, bijvoorbeeld, een accountant die vanuit een

materie bezig is. De meeste IT-ers zijn echter geen prototypische commissarissen. Ze zijn vaak technisch ingesteld en gebruiken veel jargon. De balans in raden van commissarissen zal zich verder moeten ontwikkelen. Het is goed als meer IT-specialisten in raden van commissarissen zitting gaan nemen.’

Tot die tijd blijft het dus behelpen?‘Iedere commissaris moet zichzelf blijven scholen, ook op het gebied van cybersecurity. Het is niet verstandig om te wachten met het opbouwen van kennis over IT en IT-security tot er een crisis is. Dat gebeurt nog te vaak. Toch bestaan er voldoende mogelijkheden voor toe zicht-houders die niet volledig inhoudsdeskundig zijn. Ik ben zelf ook in staat om vragen te stellen over investerings beleid, terwijl ik zelf nooit direct betrokken ben geweest bij investerings-beslissingen. Een commissaris kan heel goed leren wat de juiste vragen zijn, zonder alles in detail te begrijpen.’

Hoe gaat dat dan in zijn werk?‘Als cybersecurity bijvoorbeeld niet in de risicomatrix staat dan krijgt het waarschijnlijk niet voldoende aan dacht. Dat is een prima aanleiding voor gerichte vragen. Commissarissen moeten ook nagaan of incidenten rappor-ta ges beschikbaar zijn over cyber-security. Zij moeten periodiek uitleg vragen over incidenten en hoe die zijn afgehandeld. De kern van het vragenstellen bestaat uit vragen om uitleg en blijven door-vragen als zaken niet duidelijk of logisch zijn. Een commissaris hoeft niet alle techniek te begrijpen, maar moet wel weten hoe de informatieketen in elkaar zit en waar de kwetsbaar heden zich bevinden. Indien nodig kan externe due diligence worden ingehuurd om de antwoorden die worden gegeven op vragen te laten controleren. Je moet in ieder geval niet bang zijn om dom te worden gevonden. De consequentie kan zijn dat je gewoon meer educatie gaat krijgen. Dat is alleen maar goed.’

Bedrijven zijn naar buiten vaak heel gesloten over hun cybersecurity. Is transparantie niet effectiever, ook voor het leerproces van commissarissen?‘Er wordt heel veel gedeeld, maar dat is niet zichtbaar voor het publiek. Dat gebeurt onder andere in de Cyber Security Raad. Ook in de diverse branches wordt veel informatie gedeeld. Dat is zeer nuttig. Maar organisaties trekken liever niet te veel aandacht. Publiekelijk delen zorgt ervoor dat ook de kwaadwillenden met de in formatie aan de slag kunnen. Bovendien zijn bedrijven voor-zichtig met hun reputatie. Ze maken niet graag bekend dat ze met een probleem te kampen hebben gehad. Ik zeg niet dat het verkeerd is om transparant te zijn, maar hoe meer je naam in de pers komt hoe vaker er problemen ontstaan. Dat is op dit moment helaas vaak een gegeven. Als een organisatie beweert heel goed te zijn in security dan gaat men meteen proberen het tegendeel te bewijzen.’

9Cybersecurity

Zijn vooral de grotere organisaties kwetsbaar? ‘De kwetsbaarheid en risico’s bij semioverheid, overheid, en middel grote bedrijven zijn vaak groter dan bij grote bedrijven. Grotere ondernemingen besteden vaak meer middelen aan de be-scherming. Niet dat die daar mee onkwetsbaar zijn, maar het helpt natuurlijk wel. Daarom zijn ook bijvoorbeeld MKB-bedrijven voorzichtig met transparantie. Ze kunnen relatief eenvoudig gedupeerd worden door aandacht voor hun soms fragiele systemen.’

Laten we weer terug gaan naar de commissaris. Wat is nog meer van belang, naast het stellen van vragen?‘Het is wezenlijk dat cybersecurity een integraal onderdeel wordt van de risicoanalyse en het risico-management van een organisatie. Als dat gebeurt dan komt het ook vanzelf in het audit committee langs. Er moet twee tot vier keer per jaar tijd worden ingeruimd in de agenda voor IT en IT-security. Als het onderwerp op de agenda staat, dan zet dat vaak al heel veel in gang. Dan wordt de rapportage verbeterd en dan komt er meer uitleg.’

Wie zijn goede partijen om mee te praten als commissaris?‘Allereerst natuurlijk de betrok-kenen binnen de organisatie, bijvoorbeeld met mensen van de IT-afdeling. Die afdeling zit vaak een beetje verstopt en is niet aanwezig in de Raad van Bestuur. Ze zullen vaak zeggen dat ze te weinig armslag krijgen. Dat zijn geluiden om als commissaris op te letten. Als organisatie wil je uiteraard geen vermogen aan IT-security uitgeven maar je wilt wel spenderen wat noodzakelijk is. De commissaris kan daar vervolgens gerichte vragen over stellen aan het bestuur. Ook internal audit kan een goede rol spelen, met educatieve sessies voor commissarissen. En praat

ook met externe partijen, zoals de accountant. De externe accountant moet ook expertise hebben op het gebied van IT en bijdragen aan de risico-evaluatie. Hij moet de rode vlag hijsen als er zorgen zijn. Dat moet heel duidelijk aan de orde komen in de gesprekken. En dat zie ik ook wel gebeuren, dus dat is positief. Het gaat niet alleen om de cijfers maar ook over het vertrouwen dat de cijfers niet op de een of andere manier gemanipuleerd zijn als gevolg van cybercrime.’

Wilt u tot slot nog een advies meegeven?‘Er zijn steeds weer nieuwe ont-wikkelingen die nieuwe risico’s met zich mee brengen. De technologie en integratie gaan zo snel dat niet over twee jaar alles nog prima zal verlopen met de huidige aanpak op het gebied van cybersecurity. De risico analyse moet dus met goede regelmaat worden ververst. De cybersecurity-antenne moet continu in werking zijn. En dat gaat verder dan technische kennis alleen. Daar kun je trouwens niet vroeg genoeg mee beginnen. Een van de thema’s van de Cyber Security Raad is het opnemen van bewustwording over internet-veiligheid in het basisonderwijs. De jeugd is vaak ijzersterk met technologie en internet, maar handig zijn met internet wil niet zeggen dat men ook handig is met cybersecurity. En dat geldt niet alleen voor de jeugd.’


‘Commissarissen vinden cybersecurity een lastig onderwerp. Dat heeft meerdere oorzaken. Veel commissarissen zien IT, en cybersecurity in het bijzonder, als een ongrijpbaar, onzeker, specialistisch gebied waarvan ze te weinig verstand hebben. Daarnaast is de agenda van een raad van commis-sarissen vaak overvol. Het takenpakket wordt zeker in gereguleerde sectoren behoorlijk gevuld met andere eisen vanuit weten regelgeving.

Er blijft dus weinig ruimte over. Daarbij beschouwen commissarissen het onderwerp IT, inclusief bevei-liging, nogal eens als een operationeel management issue, niet als een strategisch aandachtspunt dat ook attentie van de commissarissen verdient. Dat is onterecht. Cybersecurity is bij veel organisaties belangrijk en raakt rechtstreeks de business, zeker

de zorg en de handel. De manier waarop auto mati-sering wordt ingezet in de organisatie wordt steeds

strategischer en het beheer en de beveiliging moet daarmee in de pas lopen.

Een commissaris moet daar dus zeker toezicht op houden. Een goede allesomvattende risicoanalyse is vaak een prima basis om binnen de raad van commissarissen over cybersecurity te spreken. En een commissaris moet zich blijven ontwikkelen, bijvoorbeeld door het volgen van opleidingen en cursussen maar vooral ook door het oor actief te luisteren te leggen in de eigen organisatie. De Cyber Security Raad heeft onlangs de ‘Handreiking cyber-security voor de bestuurder’ uitgebracht. Die publicatie wil ik van harte aanbevelen aan commissarissen. De handreiking bevat concrete handvatten voor de behandeling van het onderwerp. Wat mij betreft kan een commissaris tegenwoordig niet meer wegkomen met de opmerking dat hij of zij het onderwerp IT en Cybersecurity graag aan anderen overlaat.’

Commissaris en cybersecurity: de visie van Hanny Kemna

HHaHaHaHaHaHaaannnnnnnnnn y yyyyy y y y KeKKKeKeKKemnmnmnmnaaaaa a iisisississ gegegegeeespspspsspspspeecececeeciaiaaai lililises ererd d inin OpOpere attioionsns een n ICICT T biibij jj

ZiZij j is vvoooormrmalaligig ITTAdvisory en AsAssurancepartner bij EYY een op dit moment onder andere commissarris

11Cybersecurity

Het courante adagium bij cybersecurity is‘detect, respond en recover’

Cybercrime bestaat in alle soorten en maten. Hackers zijn creatief en doen in principe, of misschien wel uit principe, alles wat God verboden heeft. Ze zijn vaak goed georganiseerd. Cybercrime is big business en is verweven geraakt met georganiseerde criminaliteit. De invloed van cybercrime reikt steeds verder door ontwikkelingen als cloud computing, mobile en ‘the internet of things’. Een organisatie moet zich beschermen tegen cybercrime, maar de mate waarin dat moet gebeuren hangt af van de zogenaamde ‘kritische assets’ van een organisatie en de afhankelijkheid van het internet. Basale vragen hierbij zijn: wat kan er mis gaan (op basis van een meer complex scenario) en wat vindt een organisatie nog acceptabel? En wat zijn eigenlijk de kritische assets of ‘kroonjuwelen’ die moeten worden beschermd? Dat zijn vragen die ook de commissaris moeten bezighouden bij het houden van toezicht op het bestuur. Een korte verkenning.


Bestuurders denken vaak dat het allemaal zo’n vaart niet zal lopen

Cybersecurity en informatiebeveiligingIn de bestuurskamers is cybersecurity een hot topic. Het is verstandig om cybersecurity in de goede context te plaatsen en te kiezen voor een holistische benadering vanuit de drie invalshoeken van informatiebeveiliging: fysieke beveiliging, digitale beveiliging en het menselijke aspect van beveiliging. Met fysieke beveiliging zijn wij al jaren vertrouwd. Digitale beveiliging raakt ICT-infra structuur, websites, applicaties, cloud, mobile, tablets, enzovoort. Door verregaande digitalisering is internet ver doorgedrongen in de organisatie en raakt het

Cybersecurity stopt niet langer bij de buiten-kant van de organisatie. De laatste tijd krijgt ook de menselijke kant van beveiliging steeds meer aandacht. Het menselijke risico van informatiebeveiliging kan worden verkleind door screening bij indiensttreding, het creëren van een awareness en het monitoren van data die de organisatie verlaat. Het breder kijken naar cybersecurity vanuit de drie invalshoeken van informatiebeveiliging maakt het mogelijk om goed over het onderwerp te spreken zonder emotionele beslissingen te nemen. Organisaties moeten niet alles op hetzelfde niveau willen beveiligen. Wat heeft een organisatie te verliezen? Wat zijn de kroon-juwelen? En hoe moeten de belangrijkste risico’s worden afgedekt? Het beantwoorden van die vragen, in combinatie met een toe-reikende detectie van cybercrime, is essentieel.

Soorten cybercrime: denk goed door over impactCybercrime kan relatief onschuldig zijn, bijvoorbeeld in de vorm van ‘ransomware’ op enkele pc’s, waarbij losgeld moet worden betaald voor gehackte data. Gehackte data kunnen echter ook intellectueel eigendom bevatten waar aan jaren is gewerkt. Dat kan door hackers bijvoorbeeld worden verkocht aan bedrijven in China, waardoor goedkope producten op de markt komen. Dan heb je als ondernemer echt een fundamenteel probleem. Soms worden via hacks mensen ‘aangesproken’, niet als einddoel maar als tussenschakel, bijvoorbeeld omdat ze interessante gegevens hebben die criminelen verder op pad helpen op weg naar het einddoel. In de recente Carbanak-hack werd maandenlang op pc’s meegekeken naar handelingen die medewerkers van banken ver richten. Zo werden de crimi ne len als het ware opgeleid hoe ze geld konden wegsluizen. Het ging zelfs zover dat ze op vooraf geprogrammeerde tijden de ATM’s geld lieten uitspuwen. De schade loopt mogelijk op tot een miljard dollar in twee jaar tijd. Hacks kunnen ook fysiek tot schade leiden. Hackers maken bijvoorbeeld malware om computers van een bedrijf massaal te laten crashen. Dat kan heel nuttig zijn in het aantasten van het concurrentievermogen. Een Distributed Denial-of-Service (DDoS) aanval kan leiden tot het uitvallen van de website van een organisatie. Dan draait de rest van een organisatie prima door (tenzij sprake is van straight through processing), maar vaak wordt onderschat dat het kan leiden tot massaal bellen van het callcenter. Het callcenter is daarop mogelijk niet berekend. Ook kunnen door uitval van een website meldingen over een mogelijke hack in de media verschijnen, met alle gevolgen van dien voor het imago. Kortom, een heel spectrum aan aanvallen behoort tot de mogelijkheden. De crux is dat bestuurders vaak denken dat het allemaal zo’n vaart niet zal lopen, maar het blijft essentieel om ook na te denken over de mogelijke impact. Die is vaak groot, en dus relevant. Een bestuurder moet bij een hack kunnen verantwoorden dat alle redelijke stappen zijn genomen om een organisatie in voldoende mate te beschermen.

Risk appetiteBestuurders moeten een risk appetite aan-geven voor hun cybersecurity. Wat vindt men als organisatie wel en niet acceptabel? Bijvoorbeeld, bestuurders begrijpen dat een DDoS-aanval kan plaatsvinden. Als het systeem er vier uur lang uitligt dan vinden zij dat wellicht acceptabel, terwijl een dag misschien niet meer acceptabel is. Overigens zal een organisatie zich bij een DDoS-aanval van vier uur wel moeten voorbereiden op vragen van de media, aangezien dat ook consequenties heeft voor de organisatie. Der ge lij ke beslissingen geven de organisatie een richtlijn voor de keuzen en investeringen de moeten worden gemaakt.

De board moet in ieder geval goed begrijpen wat echt van wezenlijk belang is, wat de ‘kroon-juwelen’ zijn. We zien vaak dat bestuurders niet goed uitspreken wat ze echt belangrijk vinden. Het kan daarbij helpen om te denken in scenario’s over mogelijke risico’s en te bepalen wat strategisch acceptabel is. Vervolgens kan dat naar de tactische en operationele niveaus worden gecommuniceerd voor nadere uit-werking. Organisaties moeten open zijn over hun risk appetite richting stake holders, aan-geven hoe de organisatie daarop is ingericht en wat de mogelijke minpunten daarvan zijn. Dat is ook een prima handvat voor commissa-rissen om vragen te stellen over beleid op het gebied van cybersecurity.

13Cybersecurity

Typen bedreigingenBedreigingen zijn in te delen in interne en externe bedreigingen. Interne bedreigingen komen vanuit de eigen medewerkers, bijvoor-beeld door het lekken van bedrijfsgeheimen. Een bekend en extreem voorbeeld hiervan is Edward Snowden. Externe bedreigingen komen grosso modo voort uit vier bronnen:

‘The lone wolf’: de eenzame hacker op zijn zolderkamertje. Een lone wolf is meestal niet

De ‘hacktivisten’. Vroeger stonden demonstranten met borden voor de deur. DDoS-aanvallen vormen een alternatieve manier om een protestgeluid te geven.

De criminelen. Cybercrime is een miljarden-industrie waarbinnen sprake is van arbeids-specialisatie. De een maakt de malware, anderen bieden ‘hardened’ servers aan, weer anderen doen de uiteindelijke aanval. Er komen ook telkens nieuwe releases van de malware, net als binnen de reguliere software-industrie.

‘State-sponsored hackers’. Zoals de naam al aangeeft gaat het om hackers die worden ingezet door overheden, bijvoorbeeld om militaire, politieke of economische redenen.

Beschermen versus ontdekken en handelenVroeger was informatiebeveiliging vooral gericht op bescherming van informatie. Uiteraard moet je nu als organisatie nog steeds stilstaan bij bescherming, maar bij een serieuze aanval is de kans zeer groot dat hackers enkele stappen kunnen zetten die direct of indirect leiden tot de uiteindelijk beoogde cybercrime. Bescherming is dus niet voldoende. Het is essentieel om te

organisatie en dat vervolgens te beschermen. Detectie van activiteiten en daar snel op reageren is eigenlijk het allerbelangrijkst. Dat is nu het geldende adagium. Dat zien we ook terug in de frameworks die worden gebruikt. Het NIST Cybersecurity Framework is daarvan een goed voorbeeld. De focus ligt op detect, respond en recover, naast identify en protect. Het gaat vooral om snelle detectie, adequate reactie en het oplossen van de veroorzaakte schade.

Dynamisch risico-management

landscape’ is continu in beweging. Dat vraagt om dynamisch risico management. Grote organisaties bekijken daarom dagelijks de updates in dreigingen en daarbij behorende risico’s. Ze analyseren de ontwikkelingen en de gevolgen voor de activiteiten op het gebied van informatie beveiliging.

Vragen van commissarissenEen commissaris daagt het bestuur uit. Hebben zij goed nagedacht over de risk appetite? Welke gegevens zijn echt cruciaal, wat zijn de kroonjuwelen? Het blijkt lastig voor bestuurders om echt goed te bepalen wat de belangrijkste assets zijn die kunnen worden gestolen. Daar kunnen commissarissen op toezien. En hoe controleren bestuurders of er afwijkingen plaatsvinden die kunnen duiden op cybercrime? Hoe wordt nagegaan of data ongewenst de organisatie verlaten? Zijn de key performance indicatoren zodanig ingericht dat security kan worden gestuurd op basis van technische informatie uit de operationele systemen? Dat zijn allemaal aandachts-gebieden die ook voor commissarissen van belang zijn en waarover zij gerichte vragen kunnen stellen. Het komt regelmatig voor dat commissarissen goede technische vragen stellen maar dat ze niet zo goed weten wat ze met de technische antwoorden aan moeten. Het is daarom goed als iemand met een IT-achtergrond in de raad van commissarissen zit die conceptueel begrijpt hoe cybercrime werkt.

Tony de Bos (Senior Manager) en Marc Welters (Partner) zijn werkzaam bij EY Financial Services Advisory.


Eric Verheul is parttime hoog leraar Financial Information Security bij de Digital Security Group van de Radboud Universiteit Nijmegen. De leerstoel

banken. Verheul is tevens consultant op

management. Op dit moment is hij onder andere betrokken als consultant bij het Nederlandse eID-programma

internet), waarvoor hij privacy-bescher-

Privacybescherming is een van zijn aandachtgebieden. Verheul is gepromoveerd in de wiskunde.

Aandacht voor veiligheid

gaat verder dan internet

Eric Verheul

Dat wordt in uw vakgebied wel eens als twee uitersten gezien. Gaat dat goed samen?‘Dat zijn inderdaad twee uiteen lopende zaken. Aan de ene kant het meest technische gedeelte van informatie beveiliging en aan de andere kant het minst technische gedeelte. Er zijn weinig mensen die dat doen, maar ik vind dat juist extra leuk. Voor technische IT-ers gaat informatiebeveiliging

heeft met human resources en fysieke beveiliging is moeilijk tussen hun oren te krijgen. Het is heel lastig om technische IT-ers goed duidelijk te maken dat informatie beveiliging niet per se een technisch onderwerp is. Dat is een grote uitdaging. Security moet uiteindelijk worden gedreven vanuit de business, al was het alleen al omdat er eerst geld moet zijn om beveiliging te kunnen realiseren. Security hangt samen met de doel-stellingen van een bedrijf.’

‘Cybersecurity is informatie beveiliging waarbij met name wordt gefocust op ‘cyberthreats’. Dat gaat meestal over internet. Maar eigenlijk is dat veel te beperkt als het gaat over informatiebeveiliging. Organisaties moeten heel nadrukkelijk kijken naar alle dreigingen. Internet is maar een van de mogelijke dreigingsactoren. De cybersecurity van de banken is enorm toegenomen waardoor de fraude met internetbankieren met tientallen miljoenen is verminderd in de afgelopen vijf jaar. Het is nu veel lastiger om cybercrime toe te passen. Daarom zoeken oplichters naar andere manieren, bijvoorbeeld met fysieke fraude door het handmatig aanpassen van rekeningnummers op facturen die ze uit brievenbussen hengelen. Strikt genomen is cyber security dus niet het meest relevant. Het gaat om de risico’s die je loopt. Bedrijven moeten nagaan wat ze te verliezen hebben en moeten dus alle mogelijke bedreigingen onder ken nen. Criminelen zouden wel gek zijn om een organisatie via internet aan te vallen als het

15Cybersecurity

De beheersdoelstelling system isolation is inmiddels verdwenen

Bestaat in de bestuurskamers voldoende aandacht voor cybersecurity?‘Er is meer aandacht voor cyber security dan in het verleden en er is ook meer geld voor beschikbaar. Ik denk echter niet dat de gemiddelde bestuurder op dit moment in control is. Bestuurders krijgen volgens mij niet de feedback vanuit de organisatie die ze nodig hebben om te zien of ze in control zijn, nog afgezien van de vraag of ze de verkregen informatie op de goede manier kunnen interpreteren.’

Wat kunnen zij daaraan doen?‘Om daar grip op te krijgen moeten ze een systeem inrichten om signalen uit de organisatie te krijgen over IT-security en IT-governance. Daarvoor is het belangrijk om te weten wat de kernsystemen zijn, of daarvoor een risicoanalyse is uitgevoerd en hoe de risico’s worden afgedekt. Als die informatie beschik baar is dan ontstaat al gauw een beeld van de stand van de informatie beveiliging. En dergelijk traject kan bijvoorbeeld worden doorlopen aan de hand van ISO 27001, de standaard voor informatie beveiliging. De standaard helpt bestuurders om een plan-do-check-act cyclus te krijgen die ze helpt om controle te krijgen op cybersecurity. Het is ook heel belangrijk dat het senior-management van een organisatie regelmatig een oefening houdt door het simuleren van een groot beveiligings incident, bijvoorbeeld een cyberaanval. Dergelijke oefeningen vergroten het beveiligingsbewustzijn van het management enorm.’

Hoe kunnen commissarissen bijdragen aan een goede cybersecurity?‘Commissarissen moeten aan bestuurders vragen of zij voldoende aandacht hebben voor cyber security. De belangrijkste vraag is of, en hoe, bestuurders in de greep hebben wat de belangrijkste systemen zijn en of er een mechanisme is om de risico’s te onderkennen en af te dekken. Daarvoor is een governance-raamwerk nodig waarin periodiek feedback komt over de stand van zaken. Eigenlijk is een dergelijk systeem voor security

allerminst zouden commissarissen eerder kennis moeten hebben van beveiligingsincidenten dan de media. Het is trouwens goed om te beseffen dat problemen met security eigenlijk vaak een gevolg zijn van problemen met de governance van IT. Heel veel bedrijven worstelen op bestuurlijk niveau met IT-governance, nog los van security.’

Is het noodzakelijk om een IT-specialist in een raad van commissarissen te hebben?‘De mate van benodigde aandacht voor cybersecurity hangt samen met het type organisatie. Als IT en internet-connectiviteit niet zo heel belangrijk zijn, dan is het veel minder relevant dan wanneer een organisatie in grote mate afhankelijk is van IT en internet. In het laatste geval is het zeker goed om een specialist in de raad van commissarissen te hebben, ook voor toezicht op IT-governance in het algemeen. Je ziet echter dat heel veel organisaties steeds meer afhankelijk worden van IT en ik denk dat het bij de meeste organisaties wel belangrijk is dat er iemand in de raad van commissarissen zit die de goede vragen kan stellen. Met eenvoudige vragen komt een commissaris al een heel eind. Zeker als een raamwerk aanwezig is dat het mogelijk maakt om de informatie boven water te krijgen die relevant is. Een eenvoudig voorbeeld. Als de systemen in een organisatie zijn verbonden met internet dan is het heel belangrijk om te weten dat de systemen goed worden gepatcht. Vanuit de IT-organisatie moet dus periodiek informatie komen over hoeveel systemen zijn gepatcht, en hoe lang het duurt voordat de patches beschikbaar zijn. Dat soort gegevens zijn in belangrijke mate beeldvormend voor de staat van de cybersecurity.’


Informatiebeveiliging is niet per se een technisch onderwerp

Heeft u een voorbeeld van een eenvoudige methode die wordt gebruikt om te ‘hacken’?‘Sommige organisaties hebben gewoon

eigenlijk niet mogen voorkomen. Het betekent dat als iemand een Word-

die pc kan worden overgenomen. Dat komt echt veel voor, ook bij grotere organisaties. Als IT-afdelingen dat zouden blokkeren dan leidt dat tot grote onvrede, omdat bijvoorbeeld legacy-applicaties die zelf zijn gebouwd door afdelingen niet meer werken zonder macro’s. Het grappige is dat dit niet speelt bij particulieren, omdat

de macro’s uitzet. Dus in die zin zijn particulieren beter beveiligd dan grote organisaties. Organisaties houden zichzelf voor dat er geen probleem is omdat standaard virussoftware niet is gericht op macro’s.’

Wat zijn de grootste risico’s op het gebied van cybersecurity volgens u?‘De risico’s zijn legio. Het is misschien goed om iets te zeggen over verandering in mentaliteit. In de jaren negentig waren bedrijven heel huiverig om kantoor auto-matiseringsnetwerken aan het internet te koppelen. Toen was er vaak een aparte pc waarop met het internet werd gewerkt. Nu hangt alles aan het internet. Het is echt niet zo dat de beveiliging van de interne systemen echt enorm veel beter is dan toen. Nu is er eigenlijk niemand meer die er nog een punt van maakt. In ISO 27002, een norm voor informatiebeveiliging, stond voorheen een norm over ‘system isolation’. Die norm gaf aan dat sommige systemen zo kritisch waren dat je ze niet aan het net-werk wilde hangen. Dat klinkt best logisch, bijvoorbeeld als we denken aan een kerncentrale. Maar de beheersdoelstelling system isolation is inmiddels verdwenen uit de ISO-norm, met als motivatie dat men zich niet kan voorstellen dat er nog systemen zijn die niet verbonden zijn met alle netwerken. Daar zullen we de zure vruchten van gaan plukken. Mensen willen wel mogelijkheden toevoegen, maar men is niet bereid tot verlies van functionaliteit ten behoeve van een betere beveiliging. In het security management blijven we daardoor steeds achter de feiten aanlopen.’

17Cybersecurity

‘Cybersecurity is een complex onderwerp, vaak met een hoge prioriteit in de bestuurskamers. Daarom is ook een belangrijke rol weggelegd voor de raad van commissarissen. Commissarissen moeten goed weten wat de stand van zaken is op het gebied van cybersecurity, wat de risico’s zijn en wat daaraan kan en moet worden gedaan. Het is opvallend dat raden van commissarissen voor een belangrijk deel afhankelijk zijn van IT-deskundigen bij het houden van toezicht op cybersecurity. Het is daarom relevant dat iemand met meer dan gemiddelde IT-kennis onderdeel uitmaakt van de raad van commissarissen. Zeker bij ondernemingen waarbij bescherming tegen aanvallen ‘business as usual’ zou moeten

nutsbedrijven en mediabedrijven. Een inhoudsdeskundige commissaris kan zaken beter herkennen, ook als met experts wordt gesproken. We moeten trouwens beseffen dat niet iedere commissaris alles hoeft te weten. Iedere commissaris heeft zijn eigen rol binnen de raad. Het gaat erom dat de raad van commissarissen als geheel

voldoende kennis aan boord heeft om goed toezicht te kunnen houden op cybersecurity. Het is goed om eens in de zoveel tijd een ‘deep dive’ te doen. Interne en externe deskundigen bekijken dan waar de organisatie staat op het gebied van cybersecurity, of het bestuur goede prioriteiten aanbrengt en hoe de organisatie zich verhoudt tot andere organisaties. En bij het accepteren van een commissariaat is het goed om ook een beeld te vormen van de cybersecurity van de organisatie. Is men zich bewust van de risico’s en van de verbetermogelijk-heden? Zijn voldoende mogelijkheden en middelen aanwezig voor verbetering? Dat zijn zaken die je niet van de een op de andere dag kunt veranderen. Je springt op een rijdende trein. Het is goed om daarbij stil te staan.’

Commissaris en cybersecurity: de visie van Jan Nooitgedagt

Jan Nooitgedagt is onder andere commissaris bij Robeco en Telegraaf Media Groep en voorzitter van de raad van commissarissen bij SNS Reaal. Hij was van 2009 tot april 2013 CFO van Aegon. Daarvoor was hij CEO van EY in Nederland en België.


Interview met Paul van Kessel

Hoe belangrijk is het onderwerp cybersecurity?‘Cybersecurity is op dit moment dé topic in de board rooms, wereldwijd. Cybersecurity heeft een enorme impact op de reputatie en de waarde van de onderneming. Daar zijn legio negatieve voorbeelden van. Gelukkig worden organisaties nog niet van de kaart geveegd door cybersecurity-issues, maar na een cyber-crime-aanval duurt wel geruime tijd voordat organisaties er weer bovenop zijn. Allereerst moet het beveiligingslek worden gedicht en moet er zekerheid komen dat de hackers echt uit het systeem zijn. Bovendien moet bij beurs-fondsen meestal een koersval worden goed-gemaakt. Het duurt zeker een of meerdere jaren voordat een organisatie de problemen weer achter zich kan laten.’

Kunt u daarvan een voorbeeld noemen?‘Een schoolvoorbeeld van hoe het niet moet is de Amerikaanse winkel keten Target. Daar werden in 2012 creditcardgegevens gestolen. De Target-casus is enorm breed uitgemeten in de media met alle negatieve gevolgen voor de beurskoers’.

Het begint met het stellen van een aantal simpele vragen

Paul van Kessel is Global Risk Leader bij EY Advisory Services. Cybersecurity is het vlaggenschip van die rol. Als bij organisaties risk management aan de orde is, dan gaat het tegenwoordig al gauw over cybersecurity. Cybersecurity vormt ook een goed startpunt om te praten over het bredere riskmanagement bij organisaties. Aldus Paul van Kessel. Een vraaggesprek.

19Cybersecurity

Cybersecurity vormt een goed startpunt om te praten over riskmanagement

Zijn dergelijke aanvallen te voorkomen?‘Nee, helemaal voorkomen gaat niet. Tegen-woordig kunnen, en moeten, we echter veel zien aankomen via zogenaamde ‘cyber threat intelligence’. Via die methode probeert men informatie uit de markt te halen die aanvallen van hackers voorspelbaar maakt. Zo wordt bij voorbeeld gekeken of er aanvallen hebben plaatsgevonden op vergelijk bare organisaties in de branche. Dat is een eerste indicatie dat iets op komst is. Op het ‘dark internet’, waar hackers elkaar ont moeten, wordt vaak soft-ware te koop aangeboden die bij andere hacks is gebruikt. Dat is een signaal dat technologie zich aan het ver spreiden is. Zo zijn dus behoorlijk wat signalen in de markt op te pikken die tot de conclusie kunnen leiden dat men moet kijken of de achter deur wel goed dicht is. Organisaties geven ook vaak veel geld uit aan beveiligings software. Zodra die soft ware is geïnstalleerd en de monitoring wordt uitgevoerd, zien we in de praktijk vaak menselijke fouten. De software signaleert dat iets aan de hand is, maar de mens interpreteert het signaal niet goed. We komen zelfs situaties in de praktijk tegen waarin dergelijke signalen zijn genegeerd.’

Wat is de wijze les daaruit?‘Je moet als organisatie eigenlijk net zo ‘sophisticated’ zijn als de hackers, bijvoorbeeld met cyber threat intelligence. Ga zorgvuldig om met signalen en zorg dat menselijk falen zo veel mogelijk wordt vermeden. Problemen zijn echter nooit helemaal te voorkomen. Er zijn inmiddels talloze ingangen naar de IT van organisaties, bijvoorbeeld via business partners en via de cloud. Grote organisaties hebben soms wel duizenden servers en honderd duizenden andere devices, zoals laptops, routers en smartphones. Het is bijna onmogelijk om alles volledig af te schermen. Daarom zeggen wij: het gaat er niet om of je wordt gehackt, het gaat erom wanneer dat gebeurt. En vaak is het al gebeurd zonder dat je het weet.’

Zijn bestuurders en commissarissen wel voldoende geëquipeerd om die risico’s goed in te schatten en af te dekken?‘Wij verrichten elk jaar onze EY global information security survey. Daarin onder-zoeken we onder andere of de top van organisaties zich goed voelt bij hun informatie-beveiliging. In 2014 zei 75% dat zij niet, of maar gedeeltelijk, tevreden zijn over hun cybersecurity programma en een derde zegt dat ze niet precies weten wat de cybersecurity-risico’s zijn. Die cijfers zijn hoog, maar de afgelopen jaren is de awareness in de board-room wel toegenomen. Ook op de agenda’s van de audit committees komt cybersecurity steeds vaker voor. Bij het bespreken van de risicoanalyse komt cyber security eigenlijk altijd aan bod. De awareness is dus goed. Ook het aantal maatregelen is toegenomen. De budgetten voor IT staan overal onder druk, maar toch zijn de budgetten voor cyber-security gestegen. Helaas groeien de risico’s die worden gelopen sneller dan de reacties van organisaties op die risico’s. We zien dus toch een groeiende kloof tussen hoe het is en hoe het zou moeten zijn.’


Commissarissen zeggen te gauw dat ze geen verstand hebben van cybersecurity

Hoe ligt de balans tussen de positieve en negatieve aspecten van ‘cyberspace’ voor organisaties? ‘Dat is een interessante vraag. Veel orga ni sa ties dweilen momenteel met de kraan open omdat de risico’s sneller toenemen dan de organisaties maatregelen nemen. Er is veel focus op de negatieve aspecten. Maar er zit ook een heel positieve kant aan. Zeker in de huidige gedigi-taliseerde maatschappij, waarbij interactie met klanten steeds meer digitaal plaats vindt, is het van belang klanten ‘digital trust’ te laten ervaren. Een organisatie die dus in staat is om digitalisering met goede, maxi maal haalbare cybersecurity te combineren en dat ook weet uit te dragen als een unique selling point, heeft daar veel baat bij.’

Hoe moet een organisatie dat aanpakken?Je kunt als organisatie veel negatieve aspecten voorkomen als cybersecurity eerder in het proces wordt meegenomen, onder andere bij productontwikkeling, bedrijfs proces ontwik ke-ling of service ontwikkeling. Die gedachte nemen wij als EY expliciet mee bij ons diensten-aanbod.’

Wat zou u concreet willen meegeven aan commissarissen?‘Belanghebbenden willen gewoon weten dat cybersecurity goed is geregeld. Dat betekent ook dat van commissarissen wordt verwacht dat zij aandacht vragen voor risk assessment, dat zij monitoren wat voor acties worden ondernomen en dat zij betrokken zijn bij de disclosures over cybersecurity. Ik denk dat commissarissen te gauw zeggen dat ze geen verstand hebben van cybersecurity. Maar in essentie is het hetzelfde als met andere onder-delen van organisaties waarop ze toezicht moeten houden. Het begint met het stellen van een aantal simpele vragen, die samen hangen met wat wij aanduiden als de activiteiten ‘activate, adapt and anticipate’. Wat zijn de ge-troffen maatregelen op dit moment (activate)? Welk mechanisme is er om ervoor te zorgen dat wijzigingen in risico’s leiden tot ver ande-ringen in de getroffen maatregelen (adapt)? En welke informatie is handig om een hack te kunnen zien aankomen (anticipate)? Het stellen van die drie basale vragen vormt de basis voor een goed gesprek.’

21Cybersecurity

Cybersecurity: enkele overpeinzingen


Waarschijnlijk verandert de komende vijf jaar meer dan in de afgelopen tien jaar

Cybersecurity moet de juiste prioriteit hebben binnen de bestuurskamersHet is allereerst goed om te beseffen dat het thema door bestuurders weliswaar belangrijk wordt gevonden, maar vaak als niet urgent wordt geïnterpreteerd. ‘Het overkomt ons toch niet’, is dan de gedachte. De problemen zijn echter vaak enorm groot als wel iets gebeurt. Daarom is het cruciaal dat cyberrisico’s en cybersecurity goed worden meegenomen in het risicomanagement. Dat is een primaire verantwoordelijkheid van de bestuurders. De commissarissen evalueren periodiek de risico-matrix en vragen uitleg over incidenten die zich hebben voor-gedaan. Als zich nooit incidenten voordoen dan moeten commissarissen (en bestuurders) zich trouwens afvragen of dat wel een goed signaal is. Misschien gaan er wel zaken verkeerd zonder dat men daarvan op de hoogte is. Dat komt regelmatig voor. Dan schort er wellicht iets aan de detectiecapaciteit. Volledig voorkomen is lastig, daarom is detectie des te belangrijker.

De overheid heeft een belangrijke taak in het waken over de veiligheidBestuurders en commissarissen zijn dus belangrijke participanten in het ecosysteem. Ook de overheid heeft een belangrijke rol om orde te handhaven op het internet en zo cybersecurity te verhogen. Ik maak zelf graag

de analogie naar de veiligheid op straat. Er hoeft niet op iedere hoek van de straat een agent te staan om veiligheid tot op grote hoogte te kunnen garanderen, maar zonder politie lukt het ook niet. Ik denk dat een minimale norm voor cyberveiligheid in de wet zal moeten worden verankerd. Het gaat vooral om het creëren van de mogelijkheid tot gezond evenwicht. Het is trouwens belangrijk dat overheden elkaar niet gaan proberen de loef af te steken op het gebied van cybersecurity. Zowel nationaal als internationaal is samenwerking essentieel.

Accountants en audit committee moeten het onderwerp op de agenda zettenDe externe accountant is ook een belangrijke deelnemer in het ecosysteem. Hij zal cybersecurity vooral vanuit de

echter belangrijke aanknopingspunten vormen voor besprekingen met de commissarissen. De commissarissen moeten op hun beurt goed zijn voorbereid op cyber-security. Het is goed om een commissie aan te wijzen

committee is daarvoor een uitgelezen orgaan.

Building a better working worldDe digitale wereld om ons heen verandert sneller dan we wel eens denken. Waarschijnlijk verandert de komende vijf jaar meer dan in de afgelopen tien jaar. Het is daarom belangrijk dat leiders van ondernemingen en overheden hun verantwoordelijkheid oppakken zodat we met zijn allen duurzaam aan, en in, de digitale wereld kunnen werken. Vanuit EY willen wij hieraan actief onze bijdrage leveren. Dit past bij onze visie en ambitie ‘Building a better working world’.

Marcel van Loo Country Managing Partner van EY Nederland

De meeste deelnemers aan het economisch verkeer realiseren zich dat cyber security een belangrijk thema is. Cybersecurity is een ecosysteem waarin partijen van elkaar afhankelijk zijn. Het systeem is, zoals zo vaak, zo sterk als de zwakste schakel. Het is daarom goed als alle partijen binnen het

het gebied van cybersecurity. Ik wil graag enkele facetten daarvan belichten.

23Cybersecurity

Kees Verhoeven:

veel cyber-securityis low-tech

Is cybersecurity een beetje een ‘hype’?‘Het is in zekere zin een hype. De techno lo-gische kant van cyber security wordt namelijk nogal eens overschat. Cybersecurity en hacken zijn vaak helemaal niet zo technisch. Een phishing-mail waarin wordt gevraagd om in te loggen bij een nepbank vraagt geen heel technische aanpak. Vaak gaat het meer om doorsnee criminele handelingen dan om geavanceerde technologische toepassingen. Gezond verstand kan al veel helpen bij het beveiligen van computers en systemen. Het hanteren van goede en wisselende wacht-woorden is bijvoorbeeld een heel basale maatregel die nog steeds erg slecht wordt toegepast door mensen.’

Kees Verhoeven is Tweede Kamerlid voor D66 en is onder andere woordvoerder economische zaken, handel en ondernemerschap. Verhoeven is sociaal geograaf en werkte voorheen bij de Kamer van Koophandel en MKB-Nederland. Hoe kijkt hij met een politieke bril aan tegen cybersecurity?


Wordt cybersecurity voldoende opgepikt door de Nederlandse overheid?‘Cybersecurity is de afgelopen jaren steeds belangrijker geworden en er is ook meer geld in geïnvesteerd. Het Nationaal Cyber Security Centrum (NCSC) is bijvoorbeeld opgericht. Dat is het centrale informatie knooppunt en expertisecentrum voor cyber security in Nederland, met als doel het bijdragen aan een veilige, open en stabiele informatie samen-leving. De samenwerking tussen overheid en bedrijfsleven is wezenlijk voor een betere cyber security. Cybercrime moet worden gemeld bij het NCSC. Als de overheid van bedrijven te horen krijgt dat is ingebroken dan is het mogelijk om snel te proberen de daders te achterhalen. Maar ook de digitale weer baar-heid van de burgers moet worden verbeterd. Identiteitsfraude komt vaak voor. Mensen geven bijvoorbeeld te gemakkelijk een kopie van hun paspoort af als daarom wordt ge-vraagd. Dat hoeft wettelijk meestal helemaal niet. Het is goed als mensen dat weten.’

Is meer transparantie gewenst over cybercrime-incidenten en cybersecurity-issues?‘Ik hoor vaak als argumenten tegen trans pa-rantie dat organisaties het vertrouwen van de klant willen behouden en dat ze criminelen niet op ideeën willen brengen. Dat zijn eigen-lijk achterhaalde argumenten. Mensen zijn al op ideeën gebracht. De cybercrime neemt toe. Het zou goed zijn om bij serieuze aanvallen de klanten in te lichten. Je hoeft niet bij kleine inbraken alle klanten bang te maken, maar als data zijn ontvreemd dan moet je dat wel melden bij bijvoorbeeld de National Cyber Security Center. Daarvoor bestaat een meld-plicht en die is in mijn ogen terecht.’

U heeft veel ervaring met het MKB. Hoe verhouden grote organisaties zich ten opzichte van MKB-bedrijven op het gebied van cybersecurity?‘Bij grotere organisaties zoals banken, tele-combedrijven, nuts bedrijven en grote thuis-winkels,is enorm geïnvesteerd in cyber security. Die organisaties zijn zo groot en bekend dat ze kwetsbaar zijn voor aanvallen en daarom hun zaken meestal goed op orde hebben. Daar tegenover staat bedrijven in het MKB, die in eerste instantie minder kwetsbaar zijn door een lagere bekendheid. Als echter cyber-crime plaatsvindt dan kan de schade wel heel groot zijn bij mkb-bedrijven, omdat ze minder goed weten wat ze moeten doen. De over koe pelende organisaties binnen het bedrijfs leven proberen wel hun leden steeds meer te doordringen van, en voor te bereiden op, cybersecurity.’

25Cybersecurity

Het is ongewenst om een wapenwedloop te creëren

Wat is de positie van Nederland op het gebied van cybersecurity in internationaal perspectief?‘Sommige overheden zetten in op offensief en defensief investeren in cybersecurity en cyber warfare. Andere landen zijn bezig met het volledig controleren van internet. De neiging in veel landen, ook in Nederland, is om steeds de nationale veiligheid voorop te stellen. Dat slaat soms wat te ver door. Er is een soort wedloop gaande van landen die steeds meer investeren in het vinden van kwetsbaarheden in software waarbij inlichtingendiensten achter deurtjes zoeken in software. De rol van Nederland zou volgens mij moeten zijn het streven naar een open, vrij en mondiaal internet. Het is ongewenst om een wapen wedloop te creëren van welk land het meest geavanceerd andere landen kan aanvallen. Daar is nog wel wat werk te doen. Het is zaak om een goed evenwicht te vinden tussen verschillende belangen.’

Maar het is toch nodig om het internet goed in de gaten te houden?‘Er komen enkele belangrijke wetten aan. De eerste gaat over de inlichtingen diensten. De vraag is of zij mogen gaan tappen op het internetkabelverkeer. De tweede wet, de Wet Computercriminaliteit III, gaat over het toestaan van politie om computers te mogen hacken om bewijs te vinden. Een belangrijke denkfout, waar wij als D66 kritisch over zijn, is dat cyber crime kan worden opgelost door de inlichtingen- en opsporingsdiensten meer bevoegdheden te geven. Het klinkt misschien als een logische oplossing, maar het gaat ten

koste van privacy en bovendien worden de bevoegdheden die op dit moment beschikbaar zijn nog helemaal niet afdoende benut worden. Wij zijn tegen het steeds verder uitbreiden van de mogelijkheden om cyber security aan te pakken, zonder dat is bewezen dat het met het huidige instrumentarium niet kan. Als mensen bijvoorbeeld hun wacht woorden niet op orde hebben, als slecht wordt gepatcht en de servers kwetsbaar zijn, dan schieten we niet heel veel op. We moeten beginnen aan de basis. De meeste cyber security is low-tech en zorgt voor het grootste gedeelte van de veiligheid. Met gezond verstand en het in orde hebben van de basis kunnen al heel veel problemen worden voorkomen. Daarmee moeten we beginnen. Dat geldt zeker voor het MKB.’

Hoe kunnen raden van commissarissen bijdragen aan cybersecurity?‘Commissarissen moeten weten waar cyber-security in grote lijnen over gaat. Ze moeten zich goed inlezen. Het is daarnaast goed als een van de commissarissen een boven ge mid-delde kennis heeft van IT. Die commissaris moet goede lastige vragen kunnen stellen. Om dat goed te kunnen is het handig om goed te weten waar de risico’s liggen.’


Guill van den Boom en Ad Buckens

Het groeiende belang van informatietechnologieInformatietechnologie is de afgelopen tien jaar steeds belangrijker geworden. IT is niet meer alleen onder steunend, maar speelt in beleid en strategie steeds meer een essentiële rol. Dat betekent dat ook innovatie, en dus de toekomst van de organisatie, steeds meer afhankelijk wordt van hoe succesvol een organisatie is op het IT-vlak. De kosten die gepaard gaan met IT zijn substantieel. Het gaat al gauw over 15 tot 25 procent van het bedrijfs budget. Dat betekent automatisch dat het op de agenda moet staan van bestuurders, die goed moeten bepalen hoe ze omgaan met informatie technologie, vanuit de proceszijde, maar ook vanuit de kansenzijde. IT is een heel bepalende topic geworden.

Gewijzigde risico’sMet de rol van informatietechnologie is ook het risico landschap veranderd. De georganiseerde criminaliteit legt zich steeds meer toe op het misbruik van infra-structuur om de kroonjuwelen te stelen van

organisaties. Dan gaat het bijvoorbeeld om het buitmaken van intellectuele eigendommen. Een belangrijke ontwikkeling die speelt is de ‘consumerization’, waardoor de aandacht steeds meer komt te liggen bij de individuele eindgebruiker, bijvoorbeeld in de vorm van mobiele apparatuur. De laatste tijd wordt persoonlijke mobiele apparatuur van medewerkers steeds meer toegelaten in bedrijfs net werken. De vraag is hoe dat moet worden beveiligd, onder andere omdat mogelijk de kroonjuwelen op die apparaten terechtkomen.

De ‘kroonjuwelen’Het beschermen van het gehele domein is in de huidige wereld niet meer mogelijk. Organisaties denken daarom steeds vaker na over wat hun kroonjuwelen zijn en hoe ze

die moeten beschermen. Veel organisaties worstelen echter in de praktijk nog aanzienlijk

Soms denkt men dat binnen vijf minuten in beeld te hebben, maar hoe langer men erover spreekt hoe langer de lijst wordt. De vraag is wat nu echt de kroonjuwelen zijn. Dat is vaak een beperkte lijst. Wat zijn de zaken waardoor je ‘out-of-business’ kunt gaan? Het loont de moeite om daar uitvoerig bij stil te staan.

De agenda van de raad van commissarissenDe ervaring leert dat zowel bestuurders als commissarissen nog te weinig aandacht

besteden aan ICT, en zeker aan het beveiligings topic. Het komt vaak pas op de agenda op het moment dat er calamiteiten zijn, bijvoor-beeld door een hack of storing, en vormt nog te weinig een standaard -onderdeel van de bestuursagenda en de agenda van de toezicht-houder. IT is voor de meesten

een topic dat lastig wordt gevonden. De gemiddelde toezichthouder heeft het gevoel er te weinig kennis van te hebben en voelt zich er daardoor niet gemakkelijk bij om het te adresseren.

Veel bedrijven functioneren bij IT-problemen niet meer normaal verder

Over kroonjuwelen, commissarissen en accountantsDe wereld wordt opener. Organisaties zijn meer en meer met elkaar verbonden. Via internet vindt steeds intensievere informatie-uitwisseling plaats met klanten, leveranciers, partners en andere belanghebbenden. Dat biedt veel kansen, maar het leidt ook tot de noodzaak om randvoorwaardelijk de juiste maatregelen te nemen die ervoor zorgen dat onbevoegden niet bij de gegevens kunnen die moeten worden afgeschermd. Gegevens als intellectueel eigendom, inkoop prijzen, contract voorwaarden, marges en klant gegevens worden ook wel aangeduid als de ‘kroonjuwelen’ van een organisatie. Hoe moeten commissarissen letten op die kroonjuwelen? En wat kan een accountant daarbij betekenen? Enkele overwegingen.

27Cybersecurity

Hoe draagt de accountant bij?Van de externe accountant mag worden ver wacht dat hij een vinger aan de pols houdt op het vlak van IT. De insteek vanuit de accountants-controle loopt daarbij niet primair vanuit de kroonjuwelen van de organisatie. Het gaat vooral om de betrouwbaarheid van het jaar-verslag. Accountants doen een risicoanalyse op de bedrijfs processen. Wat is in de processen de afhankelijkheid van IT? Zijn er waarborgen getroffen dat de IT blijft werken? Accountants kijken tegen woordig ook steeds breder naar informatie beveiliging omdat het randvoorwaardelijk is voor de continuïteit van organisaties. Als organisaties afhankelijk zijn van IT maakt een IT-auditor integraal onderdeel uit van het accountants-

van IT in besprekingen met CFO, bestuur en/of toe zicht houders, dan zit de IT-auditor ook aan tafel. Zeker ook omdat ook het primaire proces steeds meerIT-gedreven wordt. Veel bedrijven functioneren niet meer normaal verder als er IT-problemen zijn. Het bedrijf ligt dan vaak voor een groot deel stil.

Vragen van commissaris aan accountantCommissarissen moeten erop toezien dat op onafhankelijke wijze periodiek wordt gekeken naar de informatie beveiliging, door een accountant of door iemand anders. Waar zitten de grootste risico’s? Zijn deze risico’s vol doende afgedekt? Hoe kwetsbaar is de organisatie? Hoe wordt daarmee omgegaan? Dat zijn daarbij belangrijke vragen. Commissarissen mogen ook van hun eigen externe accountant daarover

een beeld verwachten. Zij moeten kritisch zijn op wat de accountant wel en niet raakt in het risicolandschap. Met andere woorden: vanuit de accountantscontrole wordt waarschijnlijk maar een deel van de kroonjuwelen in ogenschouw genomen. Zo besteedt de accountant

intellectueel eigendom. Het is belangrijk om een goed beeld te krijgen van het deel dat nog niet wordt afgedekt. Het is vaak raadzaam daar periodiek additioneel een on afhankelijke review op te laten doen.

Integrale aanpakDe beveiliging van de kroonjuwelen zou integraal moeten worden aangepakt. Dat gaat niet alleen over het pure technische onderwerp van beveiligen van systemen. Dat gaat over mensen, processen en technologie. In veel organisaties is informatiebeveiliging toch nog vaak de verantwoordelijkheid van de ICT-afdeling. Terwijl bij het ontvreemden van informatie vaak de mens de zwakste schakel is. Van belang is dan ook om stil te staan bij een onderwerp als beveiligingsbewustzijn. Daar kan ook de commissaris expliciet op letten en er vragen over stellen. Het uiteindelijke doel is een integrale beveiligingsaanpak voor de organisatie, om cybercrime voor te blijven.

Guill van den Boom is Partner bij IT Risk Assurance and Advisory services van EY en Ad Buckens is Director Information Security Advisory Services bij EY.


Alles en iedereen is met elkaar verbonden. Dat klinkt misschien wat esoterisch, maar door het intensieve gebruik van internettoepassingen is deze wijsheid inmiddels waarheid geworden. Het internet zorgt voor ongekende mogelijkheden. Tegelijkertijd staan daar ongekende risico’s op het gebied van cyber security tegenover. Dat vormt een grote uit-daging voor organisaties. Ten eerste voor bestuurders, maar zeer zeker ook voor commissarissen die toezicht moeten houden. Aan IT-kennis ontbreekt het echter nog vaak in de bestuurskamers en binnen de raden van commissarissen. Gezien de grote uitdagingen op het gebied van cybersecurity zou ik willen pleiten voor het benoemen van een ‘IT-wizard’ binnen elke raad van commissarissen.

De meeste mensen denken weinig na over risico’s van het alom verbonden zijn via internet. Zij vinden het vanzelfsprekend en handig dat ze vanaf hun mobiele telefoon of computer kunnen bankieren, shoppen, de mail kunnen checken en zelfs de CV-installatie kunnen regelen of de oven kunnen voorverwarmen. De talloze equivalenten van dergelijke toepassingen binnen overheid en bedrijfsleven dwingen echter tot goed nadenken over veiligheid. Er zijn steeds meer wegen die systemen binnen en buiten organisaties verbinden. Dat is functioneel, maar het maakt organisaties ook extra kwetsbaar en zij moeten dus goed nadenken over hun veiligheid. Het is belangrijk om na te gaan welke zaken moeten worden beveiligd, hoe dat moet worden aangepakt en hoe dat moet worden gemonitord.

De snelle ontwikkelingen op het gebied van inter connectiviteit vragen andere kennis dan voorheen van de raad van commissarissen. De raad van commissarissen moet voldoende zijn aangesloten op de mogelijk-heden van IT en cybersecurity, moet weten de zwakheden zijn in de IT en cybersecurity en ook de snelle ontwikkelingen moeten worden gevolgd. De vraag is of raden van commissarissen wel aan deze vereisten tegemoet kunnen komen. Het antwoord daarop is vaak nog negatief.

Het helpt als een commissaris zelf bestuurlijke ervaring heeft. Een bestuurder voelt aan hoe hij of zij met prikkende vragen aan de weet kan komen of de antwoorden op vragen met voldoende body zijn onderbouwd. Met die vaardigheid kan een (voormalig) bestuurder in een rol als commissaris zeker voordeel behalen. Doorvragen is het devies, en met het opvragen van documenten en rapportages kunnen al veel zaken worden afgedekt. Maar hoever moet een commissaris gaan om een goed gevoel te krijgen? Als niemand in een raad van commissarissen conceptuele kennis heeft van IT en cybersecurity wordt dat toch verdraaid lastig. Cybersecurity is immers een complex onderwerp, waar veel commissarissen zelf nog niet mee te maken hebben gehad, al dan niet als bestuurder.

Het lijkt beter om expertise in de raad van commissarissen te brengen in de vorm van een verplichte IT-wizard. Volgens de Nederlandse Corporate Governance Code moet minimaal één lid van de raad van

om een dergelijke eis ook te stellen voor expertise op IT-vlak en cyber-security. Op naar een IT-wizard in elke raad van commissarissen!

Een IT-wizard in elke raad van commissarissen!

Prof. dr. Auke de Bos RAVoorzitter Professional Practice Group

29Cybersecurity

Het Nationaal Commissarissen

Onderzoek 2014:de rol van

de accountantIn het Nationaal Commissarissen Onderzoek 2014 lag dit jaar de focus op de toegevoegde

waarde van de externe accountant. Het Nationaal Commissarissen Onderzoek werd voor de achtste keer uitgevoerd door Prof. dr. Mijntje Lückerath-Rovers (TIAS/

Tilburg University) en Prof. dr. Auke de Bos RA (Erasmus Universiteit Rotterdam).

299 commissarissen en toezicht houders bij beursvennootschappen, familiebedrijven,

zorginstellingen en woningcorporaties namen deel aan het onderzoek. In het korte overzicht

hierna vindt u enkele belangrijke onderzoeksresultaten.


Het Nationaal Commissarissen Onderzoek is een jaarlijkse uitgave. De rapporten vanaf 2007, inclusief het onderzoek 2014, zijn kosteloos te downloaden via http://knowledge.tiasnimbas.edu/kennisgebied/governancelab

De 299 deelnemende commissaris sen hebben meer dan 880 commissariaten en gemiddeld tien jaar ervaring als commissaris. Van de respondenten is 72% man en de gemiddelde leeftijd is 59,3 jaar. De vrouwelijke commissa rissen zijn gemiddeld zeven jaar jonger. Van alle commissarissen heeft 76% een universitaire opleiding.

Toegevoegde waarde van de accountantHet grootste belang van het functioneren van de accountant zit volgens de commissarissen in

aanzien van de jaarrekening (score belang 4,3 op schaal van 1-5), de risico analyse ten aanzien van fraude (score 4,3) en de huidige risico’s (score 4,2). Commissarissen hechten minder belang aan de bijdrage van de accountant op het gebied van het beoordelen van de toon aan de top van de organisatie (score 2,9), de strategievorming (3,0) en maat-schappelijk verant woord ondernemen (2,9). Het lijkt erop dat accountants vooral gewaardeerd worden om keiharde cijfers, terwijl hun inzicht minder belangrijk wordt gevonden als het gaat om ondernemen op de langere termijn.

Accountant en toon aan de topDe meningen lopen uiteen over de toegevoegde waarde van de accountant voor de commissaris voor wat betreft de toon aan de top (het gedrag en de cultuur aan de top van de organisatie). Ruim de helft van de commissarissen beoordeelt de bijdrage van de accountant, aan de rol van de commissaris op dit terrein als onvoldoende of matig. Daarbij gaat het met name over het beoordelen van zichtbaarheid of voorbeeld gedrag van bestuurders (60%), of de top doet wat wordt gezegd - het zogenaamde ‘walk the talk’ - (55%) en over het hebben van een professioneel oordeel over een open cultuur waarin dilemma’s bespreek baar zijn (45%) en waarin de top open staat voor kritiek (46%).

Spreker op de AvAEr is grote waardering voor de rol van de accountant op de aandeel houders-vergadering. Honderd procent van de commissarissen van beurs onder-nemingen in dit onderzoek vindt dat de accountant beschikbaar moet zijn voor het geven van toelichting en het beant woorden van vragen. En in 94% van de gevallen is hij dat ook. Indien de accountant aanwezig is dan voert hij volgens 83% van de respondenten ook het woord, en 85% geeft aan dat hij beschik baar is om vragen te beantwoorden. Gemiddeld over alle sectoren is de accountant volgens 54% van de deelnemers aan het onderzoek aanwezig bij het verant woordings-orgaan, voert hij vervolgens bij 78% het woord, maar is in 92% van de gevallen in ieder geval aanwezig voor het beantwoorden van vragen.

Selectiecriteria accountantsCommissarissen vinden onafhanke lijk-heid het belangrijkste selectiecriterium voor een accountant (4,5 op een schaal van 1-5), vervolgens sectorkennis (4,2) en ervaring in een team (4,0). De leidende bij het aanstellen van de accountants ligt volgens de commissaris sen bij de audit commissie en de Raad van Commissarissen, gevolgd door de Raad van Bestuur en directie. Het functioneren van accountants wordt overigens bij 72% van de commissarissen iedere vier jaar geëvalueerd.

31Cybersecurity

EY | Assurance | Tax | Transactions | Advisory

Over EYEY is wereldwijd toonaangevend op de gebieden Assurance, Tax, Transaction en Advisory services. Met de inzichten en de hoogwaardige diensten die wij bieden, dragen wij bij aan het versterken van het vertrouwen in de kapitaal-markten en economieën overal ter wereld. Wij brengen toonaangevende leiders voort die door samen te werken onze beloften aan al onze stakeholders waar-maken. Daarmee spelen wij een cruciale rol bij het creëren van een beter functionerende wereld voor onze mensen, onze cliënten en de maatschappij.

De aanduiding EY verwijst naar de wereldwijde organisatie en mogelijk naar een of meer lidfirma’s van Ernst & Young Global Limited (EYG), die elk een afzonderlijke rechtspersoon zijn. EYG is een UK company limited by guarantee en verleent zelf geen diensten aan cliënten. Voor meer informatie over onze organisatie, kijk op ey.com.

Over EY’s Financial ServicesWet- en regelgeving voor financiële ondernemingen wordt steeds strikter. Banken en verzekeraars staan voor de uitdaging om naast het effectief beheersen van risico’s ook te voldoen aan verwachtingen van uiteenlopende belanghebbenden.Vermogensbeheerders en dienstverleners zien zich dagelijks gesteld voor uitdagingen als het beheersen van de organisatiegroei, risico-

vermindering, het bieden van transparantie en het accepteren van toezicht. EY stelt desgewenst een wereldwijd opererend team van deskundigen samen om u te helpen uw mogelijkheden maximaal te benutten. Onze mensen beschikken over zeer uitgebreide ervaring op het gebied van Assurance, Tax, Transaction en Advisory. Bovendien zijn zij uitstekend toegerust om u te helpen inspelen op trends in de markt zodat u uw doelen kunt verwezenlijken en effectiever kunt concurreren. Zo maakt EY het verschil.

© 2015 Ernst & Young Accountants LLP. Alle rechten voorbehouden.

ED None155010024

Deze publicatie bevat informatie in samengevatte vorm en is daarom enkel bedoeld als algemene leidraad. Ze is niet bedoeld om te dienen als een substituut voor gedetailleerd onderzoek of voor het aanwenden van een professioneel oordeel. Noch EYGM Limited, noch enig ander lid van de wereldwijde EY organisatie kan aansprakelijk worden gesteld voor het verlies van iemand die handelde of die ervan afzag te handelen ten gevolge van enige informatie in deze publicatie. Bij elke specifieke aangelegenheid dient steeds een geschikte adviseur geraadpleegd te worden.

ey.com/nl

zicht op toezicht: cybersecurity

Documents