Waarom cybersecurity een prioriteit op bestuursniveau zou moeten zijn in elk bedrijf – perspectief van Serhii Mikhalap

Cybersecurity is dankzij de huidige, onderling verbonden wereld niet langer een technische bijzaak. Het is een absolute noodzaak voor elke bestuurskamer. Naarmate online bedreigingen steeds geavanceerder worden en inbreuken steeds kostbaarder, beseffen bedrijven dat digitale beveiliging verankerd moet zijn in corporate governance. Maar wat betekent het dat cybersecurity een prioriteit is op bestuursniveau, en waarom lopen veel bedrijven nog steeds achter?

Cybersecurity-expert Serhii Mikhalap gelooft dat het antwoord in mindset ligt. Met meer dan negen jaar ervaring in de frontlinie, waaronder het leiden van nationale cyberdefensieoperaties en het mede-oprichten van een cybersecurity-startup, heeft Mikhalap met eigen ogen de gevolgen gezien van het beschouwen van cybersecurity als een afvinklijstje in plaats van een strategische pijler.

Mikhalap begon zijn carrière in 2016 als analist bij het Oekraïense nationale Security Operations Center (SOC). Hij was verantwoordelijk voor de reactie op geavanceerde persistente dreigingen (APT's) tegen overheids- en private infrastructuur en ontwikkelde een genuanceerd inzicht in hoe dreigingsactoren zich gedragen.

"We identificeerden niet alleen malware", herinnert Mikhalap zich. "We traceerden ook de motieven erachter, brachten de langetermijndoelen van tegenstanders in kaart en hoe ze de toeleveringsketens infiltreerden."

In 2020 maakte hij de overstap naar de commerciële sector, aanvankelijk als incidentresponder en later als leider van SOC-teams bij een wereldwijde cybersecurityprovider. Zijn werk omvatte het vanaf de grond opbouwen van twee SOC's, waarbij automatisering, triage in draaiboeken en 24/7 monitoring werden geïntegreerd. Tot zijn klanten behoorden fintech- en betaaltechnologiebedrijven die onder streng toezicht stonden van de regelgevende instanties.

In 2024 was Mikhalap medeoprichter van een security-as-a-service startup die zich richt op startups en mkb's in de crypto-, bank- en transactietechnologie. Zijn team biedt penetratietests, DFIR (digitale forensische analyse en incidentrespons), risicobeoordelingen en beveiligingsaudits.

"Cybersecurity gaat niet alleen over preventie. Het gaat over respons, herstel en vertrouwen. En dat vertrouwen begint met leiderschap", zegt hij.

De impact van Mikhalap is niet onopgemerkt gebleven. In 2022 ontving hij de Oekraïense nationale "Znak Yakosti" (Teken van Kwaliteit) voor zijn uitzonderlijke professionaliteit in cybersecurity. De prijscommissie prees zijn werk op het gebied van incidentrespons, strategische defensieplanning, gebruikerstraining en digitale forensische wetenschap.

In 2023 werd hij uitgeroepen tot Laureaat van de nationale "Award for High Reputation", een erkenning voor zijn toewijding aan ethische bedrijfspraktijken, verantwoordelijkheid en kwaliteit. Deze erkenningen onderstrepen zijn geloofwaardigheid als leider die technische nauwkeurigheid combineert met integriteit.

Volgens Mikhalap is het plaatsen van cybersecurity op de bestuursagenda niet optioneel, maar essentieel. "Besturen houden toezicht op strategische risico's. En in 2025 is cyberrisico een strategisch risico", stelt hij.

Toch missen veel besturen de expertise om technische kwetsbaarheden te begrijpen, laat staan om beveiliging af te stemmen op bedrijfsdoelstellingen. Dit creëert een gevaarlijke kloof.

"Het gebrek aan cybervaardigheden aan de top leidt tot verkeerd toegewezen budgetten, onvoldoende voorbereide responsplannen en een te grote afhankelijkheid van leveranciers", waarschuwt hij. "Cybersecurity moet worden behandeld als financiën of juridische zaken, een domein met eigen maatstaven, taal en verantwoordingsplicht."

Hij pleit voor regelmatige briefings op bestuursniveau door CISO's of externe deskundigen, met de nadruk op:

• Nalevingsverplichtingen
• Paraatheid voor incidentrespons
• Investeringsprioriteiten voor veerkracht
• Huidig dreigingslandschap en trends
• Bedrijfskritische activa en hun blootstelling

Mikhalap is van mening dat besturen de waarde van cyberbeveiliging beter kunnen begrijpen als ze deze in termen van bedrijfscontinuïteit en reputatierisico's bekijken.

Een terugkerend thema in Mikhalaps werk zijn de verborgen kosten van inactiviteit. "Een inbreuk kost niet alleen geld. Het ondermijnt het vertrouwen. Het legt nalatigheid bloot. Het kan een beursgang of fusie of overname de das omdoen."

In gereguleerde sectoren zijn de gevolgen nog ernstiger. Boetes, rechtszaken en verboden door de overheid liggen allemaal op de loer. "Maar het grotere probleem is het concurrentienadeel. Als je concurrenten investeren in veerkracht en jij niet, dan loop je achter de feiten aan nadat de schade al is aangericht."

Mikhalap benadrukt dat betrokkenheid van het bestuur hand in hand moet gaan met culturele verandering. Beveiliging kan niet in isolatie functioneren.

We moeten de mythe doorbreken dat cybersecurity een IT-probleem is. Het is ieders verantwoordelijkheid. Van HR tot finance en productteams, elke functie moet zijn rol in het beheersen van cyberrisico's begrijpen.

Om dit te ondersteunen, biedt zijn bedrijf op maat gemaakte trainingsmodules aan die beveiligingspraktijken afstemmen op de functie. Ze helpen bedrijven ook bij het simuleren van aanvallen om de besluitvorming onder druk te testen.

"Wanneer leiders een gesimuleerd beveiligingsincidentscenario doormaken, begrijpen ze wat er op het spel staat. Ze beseffen dat het niet alleen om firewalls gaat. Het gaat om reputatieschade, juridische risico's en het voortbestaan van bedrijven."

Mikhalap benadrukt een aantal praktijken die vooruitstrevende besturen omarmen:

• Cyberrisico's als onderdeel van Enterprise Risk Management (ERM): beveiliging integreren in bredere risicodashboards.
• Bestuursopleiding: het organiseren van workshops of introductiesessies voor nieuwe leden.
• Onafhankelijke beoordelingen: externe experts inhuren om volwassenheidsbeoordelingen uit te voeren.
• Scenarioplanning: het uitvoeren van simulaties voor directieteams en directeuren.
• Budgettering afstemmen: ervoor zorgen dat investeringen in beveiliging aansluiten op de digitale voetafdruk van het bedrijf en de blootstelling aan bedreigingen.

Hij merkt op dat besturen geen cybersecurity-experts hoeven te worden, maar dat ze wel de juiste vragen moeten stellen en duidelijke, bruikbare antwoorden moeten verwachten.

Vooruitkijkend naar 2025 en daarna ziet Mikhalap een groeiende urgentie voor bedrijven om cyberstrategie te integreren in hun langetermijnplanning. Naarmate ransomware, AI-aanvallen en inbreuken op de toeleveringsketen in omvang en complexiteit toenemen, betoogt hij dat de prioriteiten van de directiekamer mee moeten evolueren.

Cybersecurity gaat niet langer over het verdedigen van de netwerkperimeter. Het gaat over het beheersen van digitale risico's binnen de hele onderneming. Het gaat over veerkracht. En dat begint met leiderschap dat begrijpt wat er werkelijk op het spel staat.

Voor Serhii Mikhalap is de boodschap simpel: cybersecurity hoort thuis in de bestuurskamer. Niet alleen tijdens een crisis, maar als onderdeel van routinematig toezicht.

"Als je cybersecurity niet op bestuursniveau bespreekt, maak je je organisatie kwetsbaar, zowel technisch als qua reputatie", zegt hij. "Cybersecurity is nu een business enabler. Besturen die dit goed aanpakken, zullen vol vertrouwen leidinggeven. Besturen die dat niet doen, zullen achterblijven."

(Afbeelding van Cliff Hang via Pixabay)