Het cybersecuritylandschap verandert voortdurend en voor beveiligingsteams is het een serieuze uitdaging om de organisatie te blijven beschermen tegen de meest recente cyberdreigingen. Zeker als ze niet over het budget en de middelen beschikken om een goed securitykader te ontwikkelen. Een succesvolle strategie is in het huidige klimaat enkel mogelijk als het securityteam en de directie van het bedrijf samen nadenken over de risico’s en de oplossingen.
De tijd dat cybersecurity de verantwoordelijkheid was van een klein team in de kelder van het bedrijf is al lang verleden tijd. Natuurlijk rust er nog steeds veel druk op de schouders van IT om de belangrijke data van de organisatie te beveiligen en na een aanval snel weer te herstellen. Maar intussen komt de problematiek toch ook meer en meer op de agenda van debedrijfsleiding. En dat is nodig, want in de meeste bedrijven zitten IT en de directie helemaal niet op dezelfde lijn.
Uit onderzoek blijkt zelfs dat slechts 21% van de CISO’s (Chief Information Security Officer) wereldwijd het eens is met de raad van bestuur als het over cybersecurity gaat. Dat is zorgwekkend weinig, vooral omdat security in moderne bedrijven in het DNA van de organisatie zou moeten zitten. Cyberaanvallen vormen een direct risico voor de business en zelfs voor het voortbestaan van het bedrijf.
We moeten de kloof tussen IT en bestuur dus echt wel dichten. Hoe je dit kunt doen? De volgende drie actiepunten moet iedere organisatie ter harte nemen:
1. Zorg voor open en duidelijke communicatielijnen
Organisaties zonder goede communicatie en coördinatie aan de top zijn de perfecte voedingsbodem voor cyberaanvallen. Daarom is het belangrijk dat cybersecurity geen technische aangelegenheid is en erover gesproken wordt in termen die iedereen begrijpt. Vaak ziet de directie security als een complex gegeven, terwijl het dat helemaal niet hoeft te zijn. Zeker niet als je security rechtstreeks verbindt met de risico’s voor de business.
Securityleiders moeten hun boodschap dan ook zoveel mogelijk kaderen en contextualiseren. Wees eerlijk en open over het huidige niveau van de security in de organisatie en wind geen doekjes rond de risico’s die de business hierdoor loopt. Eigenlijk moeten gesprekken over cybersecurity dezelfde lijn volgen als discussies over andere risicogebieden in het bedrijf. Stel daarom de volgende vragen:
• Zijn er genoeg procedures en middelen om cyberrisico’s te ontdekken?
• Hebben we een acceptatie- en tolerantiewaarde voor risico’s vastgesteld?
• Bewaken en beheren we de risico’s, en beschikken we over voldoende resources?
2. Baken de rollen en verantwoordelijkheden duidelijk af
De directie heeft te weinig kennis om te begrijpen wat een goede securityoplossing inhoudt, maar moet wel in staat zijn om de impact van een incident op de business in kaart te brengen. Het is dus niet de taak van het bestuur om oplossingen te zoeken, maar wel om de tolerantiewaarde van een risico te bepalen en te valideren zodat technische teams beter begrijpen wat ze moeten beschermen en op basis daarvan de juiste oplossing kunnen vinden.
Terwijl de directie verantwoordelijk is voor het uitvoeren van strategieën, moeten ze securityteams ook voldoende autonomie en steun geven om securitykaders uit te rollen. Zodat IT-security in de eerste plaats gezien wordt als een afdeling die actief meehelpt om doelstellingen en strategieën te realiseren, en niet als een departement dat elke vorm van innovatie bij voorbaat wil tegengaan.
3. Werk samen met de CEO om vooruitgang te meten
Meten is weten. Zonder metingen is het niet mogelijk om een cybersecuritystrategie te bouwen die de tand des tijds kan doorstaan. Zorg er daarom voor dat de securityleider en de CEO nauw kunnen samenwerken om duidelijke metingen te ontwikkelen die het bestuur toelaten om de vooruitgang te volgen. Elke meting moet passend zijn en op een begrijpelijke manier kunnen worden gepresenteerd.
Bij het opstellen van meetmethoden is het de taak van de CEO om de risicotopics aan te sturen, waarna de securityleiders het bestuur een goed beeld moeten geven van de risico’s. Op basis daarvan zullen de prioriteiten op het gebied van investeringen en risicoscenario’s duidelijk worden, zonder gebruik te maken van al te technisch jargon.
Kloof tussen IT en directie dichten
Zonder betrokken bestuur is het niet mogelijk om een sterke cybersecuritystrategie te ontwikkelen. Het is dan ook een goede zaak dat dit niet meer zuiver onder de paraplu van IT blijft zitten. In veel organisaties verschuift de verantwoordelijkheid hiervoor naar de Chief Risk Officer. Het voordeel is dat deze persoon doorgaans genoeg technische achtergrond heeft om de problematiek te begrijpen en tevens vanuit financieel perspectief de vertaalslag naar de business kan maken.
Daardoor is het de geknipte figuur om de kloof tussen IT en de bestuurders van het bedrijf te dichten. En de basis te leggen voor een toekomstbestendige securitystrategie voor een wereld waarin cyberaanvallen simpelweg niet meer weg te denken zijn.
