In een tijd waarin digitale veiligheid van cruciaal belang is, moeten bedrijfsleiders overtuigd worden van de waarde van jouw cyberbeveiligingsprogramma. De groeiende cyberdreigingen, zoals de alarmerende toename van datalekken in de Verenigde Staten en waarschuwingen van het EU-veiligheidsagentschap ENISA, benadrukken de noodzaak van bestuur betrokkenheid. Het overbruggen van historische kloven tussen IT en bedrijfsbelangen en effectieve communicatie zijn essentieel. Hier zijn zes stappen om dit te bereiken.
In een tijd waarin een veilige digitale omgeving cruciaal is, is het van vitaal belang om bedrijfsleiders betrokken te krijgen bij jouw cyberbeveiligingsprogramma. Initiatieven zoals Cybersecurity Awareness Month (CSAM) bieden uitstekende kansen om het bredere publiek bewust te maken van essentiële praktijken, zoals wachtwoordbeheer en het patchen van kwetsbaarheden. Toch is het net zo belangrijk om de aandacht van bedrijfsbestuurders te vestigen op de groeiende cyberrisico’s.
In een tweede kwartaal van 2023 werd in de Verenigde Staten een alarmerende stijging van 114% in het aantal publiekelijk gemelde datalekken waargenomen, wat duidt op een potentieel nieuw recordjaar. In Europa waarschuwde het EU-veiligheidsagentschap ENISA in 2022 voor de opkomst van zero-day exploits, ransomware-as-a-service, huurhackers, supply chain aanvallen en social engineering. Het is de verantwoordelijkheid van de Chief Information Security Officer (CISO) om deze uitdagingen aan te pakken, maar om effectief te zijn, heeft hij de juiste steun voor het bestuur nodig. Daarom is het cruciaal om betrokkenheid en goedkeuring van het bestuur voor cyberbeveiligingsprojecten te verkrijgen.
Richting het stroomlijnen van IT en bestuursbelangen
Historisch gezien bestond er vaak een kloof tussen bedrijfsleiders en degenen die verantwoordelijk zijn voor IT- en cyberstrategieën. Beveiliging werd doorgaans beschouwd als een noodzakelijke kostenpost, in plaats van een bijdrage aan inkomsten, laat staan als een drijvende kracht achter zakelijk succes. Dit resulteerde in onsamenhangende en reactieve budgettoewijzingen, vaak pas nadat er een beveiligingsinbreuk heeft plaatsgevonden, wat leidde tot suboptimale resultaten en een opeenhoping van ineffectieve oplossingen.
Volgens onderzoek begrijpt slechts 39% van de besluitvormers op het gebied van beveiliging volledig welke rol cyberbeveiliging speelt in zakelijk succes. Een vergelijkbare 36% beschouwt beveiliging louter vanuit het perspectief van nalevingsvereisten. Hoe kunnen CISO’s en hun collega’s het bestuur dan overtuigen om betrokken te raken bij strategische initiatieven op lange termijn?
Hier zijn 6 suggesties:
1: Gebruik de juiste taal
De eerste stap naar een betere afstemming tussen cyberbeveiliging en bedrijfsbelangen is het spreken en het begrijpelijk maken van de juiste taal. Dit houdt in dat je in plaats van complexe technische details en jargons, de bedrijfsrisico’s in kaart brengt. Dit vergemakkelijkt de betrokkenheid van bestuurders en het verkrijgen van goedkeuring voor strategische initiatieven. Vertel hen bijvoorbeeld dat een ransomware-aanval de activiteiten kan stilleggen en aanzienlijke financiële schade kan veroorzaken, wat de noodzaak van beveiligingsmaatregelen benadrukt.
2: Meet en maak risico’s relevant
Een deel van een effectieve communicatie tussen IT en het bestuur is gebaseerd op het delen van gegevens die cyberbeveiliging vertalen naar metingen die voor de directie relevant zijn. Toon statistieken die de prestaties van beveiligingscontroles weergeven en gebieden identificeren waar verbetering nodig is. Houd de presentatie eenvoudig en focus op relevante KPI’s en benchmarkgegevens.
3: Bevorder beveiliging als standaardpraktijk
Volgens het World Economic Forum (WEF) gelooft 43% van de zakelijke leiders dat het zeer waarschijnlijk is dat een cyberaanval hun organisatie wezenlijk zal gaan beïnvloeden in de komende twee jaar. Hoewel het bemoedigend is dat ze de ernst van cyberrisico's erkennen, weerspiegelt dit tevens een verschuiving in de denkwijze van de bestuurskamer, waarbij de focus steeds meer gericht is op het toewijzen van middelen aan dagelijkse bedrijfsvoering in plaats van strategische investeringen.
De Chief Information Security Officer (CISO) moet zijn collega's aan de top overtuigen om cybersecurity op een strategischere manier te benaderen, en hen laten begrijpen dat dit tot betere resultaten leidt. Security by design and default is de best practice die wordt gepromoot door regelgevers zoals GDPR en anderen. Dit betekent dat veiligheidsaspecten vanaf het allereerste begin moeten worden ingebouwd in nieuwe zakelijke initiatieven of producten, in plaats van dat ze achteraf worden toegevoegd, of - nog erger - pas na een incident.
4: Intensifieer communicatie
Het World Economic Forum beveelt aan dat CISO’s frequenter overleg plegen met het bestuur. Maandelijkse of nog frequenter overleggen kunnen helpen om wederzijds begrip op te bouwen. Het is ook waardevol als de CISO direct rapporteert aan de CEO om de betrokkenheid van de bedrijfsleiding bij beveiliging te vergroten.
5: Formaliseer cyberbeveiligingsprogramma’s
In plaats van ad-hoc benaderingen, moeten cyberbeveiligingsprogramma’s goed worden gedocumenteerd, gemeten met relevante KPI’s en geformaliseerd binnen een top-down structuur om de rol van beveiliging in de organisatie te verankeren.
6: Het aannemen van business information security officers (BISO’s)
BISO’s, verantwoordelijk voor de interactie tussen bedrijfseenheden en het beveiligingsteam, kunnen strategische doelstellingen omzetten in praktische stappen. Ze kunnen een beveiligingscultuur bevorderen en het bestuur overtuigen dat beveiliging in alle aspecten van de organisatie essentieel is.
Conclusie
De toenemende bewustwording van cyberrisico’s heeft CISO’s en directieleden nader tot elkaar gebracht, maar er is nog veel werk te verrichten. Het verkrijgen van betrokkenheid en goedkeuring van het bestuur vereist mogelijk maanden of zelfs jaren van inspanning en kan zelfs een mentaliteitsverandering vergen, zowel bij bedrijfsleiders als CISO’s. De huidige geopolitieke instabiliteit benadrukt echter het belang van effectieve cyberbeveiliging en maakt deze inspanningen des te urgenter voor zakelijke doelgroepen.