In Europa waarschuwde ENISA (EU-veiligheidsagentschap) in 2022 voor een golf van zero-day exploits, ransomware-as-a-service, ingehuurde hackers, supply chain-aanvallen en social engineering. Hierop grip krijgen is uiteindelijk de taak van de CISO. Maar omdat die rol effectief zou zijn, is de juiste steun van het bestuur nodig. Het is dus enorm belangrijk om betrokkenheid en buy-in te krijgen voor projecten.
11 oktober 2023 – In de VS was er in Q2 van 2023 een stijging van 114% in het aantal gemelde datalekken. Het jaar is dus op koers voor een nieuw record. In Europa waarschuwde ENISA (EU-veiligheidsagentschap) in 2022 voor een golf van zero-day exploits, ransomware-as-a-service, ingehuurde hackers, supply chain-aanvallen en social engineering. Hierop grip krijgen is uiteindelijk de taak van de CISO. Maar omdat die rol effectief zou zijn, is de juiste steun van het bestuur nodig. Het is dus enorm belangrijk om betrokkenheid en buy-in te krijgen voor projecten.
Er is vaak een kloof tussen de bedrijfsleiders en de verantwoordelijken voor de IT- en cyberstrategie. De perceptie dat het noodzakelijk is om cyberdreigingen op afstand te houden is er wel, maar niet veel meer dan dat. Veel bestuursraden zien IT en cyberbeveiliging nog steeds als noodzakelijke kosten, maar niet als inkomstenbronnen – en zeker niet als zaken die het bedrijfsleven mogelijk maken.
Hoewel Gartner voorspelt (Gartner predicts) dat de uitgaven voor veiligheid en risicobeheer in 2023 wereldwijd met ruim 11% tot 188 miljard dollar zullen groeien, zullen deze niet noodzakelijk verstandig besteed worden. Niet-betrokken raden neigen om op een fragmentarische en reactieve manier budget vrij te maken, zoals na een inbreuk. Dat kan leiden tot slechte resultaten en een opeenstapeling van oplossingen die uiteindelijk een slechte prijs-kwaliteitsverhouding hebben.
Volgens één onderzoek gelooft slechts 39% van de besluitvormers in beveiliging dat de leiding van hun bedrijf echt begrijpt welke rol cyberbeveiliging speelt in zakelijk succes. 36% beweert dat beveiliging enkel bekeken wordt door de lens van compliance-eisen. Hoe kunnen CISO’s beter samenwerken met besturen om ze op lange termijn mee te krijgen voor strategische initiatieven?
Hier volgen zes suggesties:
1) De juiste taal spreken
De eerste stap naar een betere begrip voor cybersecurity moet duidelijkheid zijn. Geen taal van bits en bytes en complexe technologische details, maar van business risico’s. Dat maakt het gemakkelijker om bestuurders te betrekken en mee te krijgen voor een specifiek strategisch initiatief. Hen uitleggen dat een ransomware-aanval 200 servers offline kan halen, en dan denken ze misschien: “Ja, en dan?” Maar zeggen dat alles een week kan platliggen, wat $400.000 per uur kost, en de reactie zal heel anders zijn.
2) Risico’s meten en ze relevant maken
Praten in een taal die beide partijen begrijpen, is het delen van gegevens op basis van statistieken die cyberbeveiliging vertalen naar metingen die het bestuur en het bedrijfsleven belangrijk vinden. Zoals statistieken die de prestaties en effectiviteit van bestaande beveiligingscontroles aantonen – om te illustreren waar dingen goed werken en gebieden waar verbetering nodig is. Dit in de loop van de tijd opvolgen, heeft nog meer impact, net als vergelijkingen met benchmarks uit de sector.
Als men dit aan het bestuur uitlegt, moet men de zaken eenvoudig en op een hoog niveau houden. Ook niet bang zijn om anekdoten uit het bedrijfsleven te gebruiken om iets duidelijk te maken.
3) Beveiliging promoten door ontwerp
Volgens het World Economic Forum (WEF) denkt 43% van de bedrijfsleiders dat het mogelijk is dat een cyberaanval voor hun organisatie in de komende twee jaar ‘materiële gevolgen’ zal hebben. Het is positief dat ze de ernst van cyberrisico’s inzien maar het weerspiegelt ook dat de mentaliteit van de directie steeds meer gericht is op het kanaliseren van middelen naar dagelijkse investeringen en niet op strategische investeringen.
De CISO moet zijn collega’s aan de top overtuigen om strategischer naar cyberbeveiliging te kijken, zodat ze daardoor betere resultaten behalen. Beveiliging door ontwerp en standaard is de beste praktijk die AVG-toezichthouders en anderen promoten. Veiligheidsoverwegingen moeten al vanaf het begin in nieuwe bedrijfsinitiatieven of producten ingebouwd worden, in plaats van aan het eind, of – erger nog – na een incident.
4) Vaker samenkomen
Volgens WEF komt 56% van de CISO’s nu maandelijks of vaker bijeen met het bestuur. Dit is een grote stap in het meekrijgen van het bestuur voor beveiliging, zeker gezien de snelheid waarmee het dreigingslandschap evolueert. Maar meer moet gedaan worden om wederzijds begrip te bevorderen. Eén manier is zorgen dat de CISO rechtstreeks rapporteert aan de CEO – waardoor deze meer blootgesteld wordt aan cyberbeveiliging en het beveiligingsteam meer directe feedback krijgt.
5) Beveiligingsprogramma’s formaliseren
Te veel cyberbeveiligingsprogramma’s zijn ad hoc en technisch gericht. Ze moeten echter goed gedocumenteerd zijn, gemeten aan de hand van relevante KPI’s en meetgegevens en geformaliseerd in een top-down structuur. Dit helpt om de rol van cyberbeveiliging in het bedrijf te versterken.
6) Enkele BISO’s inhuren
De Business Information Security Officer (BISO) is een specifieke afdelings- of bedrijfsunitjob die verantwoordelijk is voor het onderhouden van contacten, zowel met het bedrijf als het beveiligingsteam. Ze helpen de strategie op hoog niveau om te zetten in praktische operationele stappen. Ze kunnen de ‘security-by-design’-cultuur creëren waar elke organisatie naar zou moeten streven, en aan sceptische besturen bewijzen dat beveiliging in elk onderdeel van het bedrijf moet ingebouwd zijn.
Besluit
Volgens het WEF heeft de geopolitieke instabiliteit ertoe geleid dat de standpunten van de CISO en het bestuur over het belang van cyberrisicobeheer dichter bij elkaar kwamen. Nu gelooft 91% van deze gecombineerde gemeenschap dat een verstrekkende, catastrofale cybergebeurtenis in de komende twee jaar mogelijk is. Maar voor veel organisaties zal die belangrijke betrokkenheid en buy-in in de bestuursraad een werk van maanden of jaren zijn. En het allerbelangrijkste: het kan een mentaliteitsverandering vereisen, niet alleen van bedrijfsleiders, maar ook van CISO’s.