3 manieren om de kloof tussen securityleiders en het bestuur te dichten

Het cyber­se­cu­ri­ty­land­schap verandert voort­du­rend en voor bevei­li­gings­teams is het een serieuze uitdaging om de orga­ni­satie te blijven beschermen tegen de meest recente cyber­drei­gingen. Zeker als ze niet over het budget en de middelen beschikken om een goed secu­ri­ty­kader te ontwik­kelen. Een succes­volle strategie is in het huidige klimaat enkel mogelijk als het secu­ri­ty­team en de directie van het bedrijf samen nadenken over de risico’s en de oplossingen.

De tijd dat cyber­se­cu­rity de verant­woor­de­lijk­heid was van een klein team in de kelder van het bedrijf is al lang verleden tijd. Natuur­lijk rust er nog steeds veel druk op de schouders van IT om de belang­rijke data van de orga­ni­satie te bevei­ligen en na een aanval snel weer te herstellen. Maar intussen komt de proble­ma­tiek toch ook meer en meer op de agenda van debedrijfs­lei­ding. En dat is nodig, want in de meeste bedrijven zitten IT en de directie helemaal niet op dezelfde lijn. 

Uit onderzoek blijkt zelfs dat slechts 21% van de CISO’s (Chief Infor­ma­tion Security Officer) wereld­wijd het eens is met de raad van bestuur als het over cyber­se­cu­rity gaat. Dat is zorg­wek­kend weinig, vooral omdat security in moderne bedrijven in het DNA van de orga­ni­satie zou moeten zitten. Cyber­aan­vallen vormen een direct risico voor de business en zelfs voor het voort­be­staan van het bedrijf.

We moeten de kloof tussen IT en bestuur dus echt wel dichten. Hoe je dit kunt doen? De volgende drie actie­punten moet iedere orga­ni­satie ter harte nemen:

1. Zorg voor open en duidelijke communicatielijnen

Orga­ni­sa­ties zonder goede commu­ni­catie en coör­di­natie aan de top zijn de perfecte voedings­bodem voor cyber­aan­vallen. Daarom is het belang­rijk dat cyber­se­cu­rity geen tech­ni­sche aange­le­gen­heid is en erover gesproken wordt in termen die iedereen begrijpt. Vaak ziet de directie security als een complex gegeven, terwijl het dat helemaal niet hoeft te zijn. Zeker niet als je security recht­streeks verbindt met de risico’s voor de business.

Secu­ri­ty­lei­ders moeten hun boodschap dan ook zoveel mogelijk kaderen en contex­tu­a­li­seren. Wees eerlijk en open over het huidige niveau van de security in de orga­ni­satie en wind geen doekjes rond de risico’s die de business hierdoor loopt. Eigenlijk moeten gesprekken over cyber­se­cu­rity dezelfde lijn volgen als discus­sies over andere risi­co­ge­bieden in het bedrijf. Stel daarom de volgende vragen:

• Zijn er genoeg proce­dures en middelen om cyberrisico’s te ontdekken?

• Hebben we een accep­tatie- en tole­ran­tie­waarde voor risico’s vastgesteld?

• Bewaken en beheren we de risico’s, en beschikken we over voldoende resources?

2. Baken de rollen en verantwoordelijkheden duidelijk af

De directie heeft te weinig kennis om te begrijpen wat een goede secu­ri­ty­op­los­sing inhoudt, maar moet wel in staat zijn om de impact van een incident op de business in kaart te brengen. Het is dus niet de taak van het bestuur om oplos­singen te zoeken, maar wel om de tole­ran­tie­waarde van een risico te bepalen en te valideren zodat tech­ni­sche teams beter begrijpen wat ze moeten beschermen en op basis daarvan de juiste oplossing kunnen vinden.

Terwijl de directie verant­woor­de­lijk is voor het uitvoeren van stra­te­gieën, moeten ze secu­ri­ty­teams ook voldoende autonomie en steun geven om secu­ri­ty­ka­ders uit te rollen. Zodat IT-security in de eerste plaats gezien wordt als een afdeling die actief meehelpt om doel­stel­lingen en stra­te­gieën te reali­seren, en niet als een depar­te­ment dat elke vorm van innovatie bij voorbaat wil tegengaan.

3. Werk samen met de CEO om vooruitgang te meten

Meten is weten. Zonder metingen is het niet mogelijk om een cyber­se­cu­ri­ty­s­tra­tegie te bouwen die de tand des tijds kan doorstaan. Zorg er daarom voor dat de secu­ri­ty­leider en de CEO nauw kunnen samen­werken om duide­lijke metingen te ontwik­kelen die het bestuur toelaten om de voor­uit­gang te volgen. Elke meting moet passend zijn en op een begrij­pe­lijke manier kunnen worden gepresenteerd.

Bij het opstellen van meet­me­thoden is het de taak van de CEO om de risi­co­to­pics aan te sturen, waarna de secu­ri­ty­lei­ders het bestuur een goed beeld moeten geven van de risico’s. Op basis daarvan zullen de prio­ri­teiten op het gebied van inves­te­ringen en risicoscenario’s duidelijk worden, zonder gebruik te maken van al te technisch jargon.

Kloof tussen IT en directie dichten

Zonder betrokken bestuur is het niet mogelijk om een sterke cyber­se­cu­ri­ty­s­tra­tegie te ontwik­kelen. Het is dan ook een goede zaak dat dit niet meer zuiver onder de paraplu van IT blijft zitten. In veel orga­ni­sa­ties verschuift de verant­woor­de­lijk­heid hiervoor naar de Chief Risk Officer. Het voordeel is dat deze persoon doorgaans genoeg tech­ni­sche achter­grond heeft om de proble­ma­tiek te begrijpen en tevens vanuit finan­cieel perspec­tief de vertaal­slag naar de business kan maken.

Daardoor is het de geknipte figuur om de kloof tussen IT en de bestuur­ders van het bedrijf te dichten. En de basis te leggen voor een toekomst­be­sten­dige secu­ri­ty­s­tra­tegie voor een wereld waarin cyber­aan­vallen simpelweg niet meer weg te denken zijn.