Redactie - 14 november 2022

Drie manieren om de kloof tussen security-leiders en het bestuur te dichten

Drie manieren om de kloof tussen security-leiders en het bestuur te dichten image

Het cybersecurity-landschap verandert voortdurend. Elke week verschijnen er nieuwe aanvalsoppervlakken en dreigingen. Het kan uitputtend werk zijn voor security-managers en hun teams. Dit is met name het geval als zij niet beschikken over het budget, de middelen en de steun van de board om goede beveiligingsstrategieën en -kaders te ontwikkelen waarmee ze hun organisatie kunnen beschermen.

Uit onderzoek blijkt zelfs dat slechts 21% van de chief information security officers wereldwijd het eens is met de boards over cybersecurity. Dit is een zorgwekkend gegeven, vooral omdat cybersecurity iedereen aangaat.

Dus hoe moeten security-leiders en boards de kloof op het gebied van cybersecurity overbruggen?

1. Zorg voor open en duidelijke communicatielijnen

Organisaties met een gebrek aan communicatie en coördinatie aan de top vormen de perfecte voedingsbodem voor cybercriminaliteit. Daarom is het zo belangrijk om ervoor te zorgen dat de communicatie over cybersecurity tussen directie en de board op het gewenste niveau is. Er moet worden gecommuniceerd in termen die iedereen begrijpt. Immers: security wordt vaak als complex ervaren, maar dat kan snel worden ondervangen door de bedrijfsrisico's op de juiste manier over te brengen.

Daartoe moeten security-leiders hun gesprekken met de board altijd inkaderen en contextualiseren. Wees open en eerlijk over de toestand van cybersecurity binnen uw organisatie, en hoe die toestand van invloed is op het totale risico die het bedrijf loopt.

Om bij de board bewustzijn en begrip te kweken, moeten deze gesprekken hetzelfde kader volgen als elk ander risicogebied. Daarbij moeten de volgende vragen worden gesteld:

  • Hebben we de werkwijzen en middelen om cyberrisico's te identificeren?
  • Hebben we een acceptatie- en tolerantiewaarde voor risico's vastgesteld?
  • Bewaken en beheren we de risico's en beschikken we daarvoor over voldoende middelen?

2. Rollen en verantwoordelijkheden duidelijk afbakenen

Hoewel het belangrijk is dat directies actief nadenken over cyberrisico's, moeten zij zich ook richten op de digitale weerbaarheid van de organisatie. Hiervan is cybersecurity een belangrijk onderdeel. Er is echter een breed scala aan kwesties op het gebied van beveiliging en digitale weerbaarheid waarmee het bestuur rekening moet houden. Deze zijn steevast met elkaar verweven en liggen op één lijn met het merkrisico.

Maar al te vaak proberen boards ten onrechte cyberrisico's te beheren. Boards moeten niet het risicobeheer en de operaties leiden, maar de tolerantiewaarde voor risico’s bepalen en valideren.

De leiding is er niet alleen om de strategie uit te voeren. Ja: zij moeten nieuwe innovaties promoten en aanmoedigen. Ze moeten het beveiligingsteam - als het over innovatie gaat - echter ook de autonomie en steun geven zodat ze zich kunnen richten op het zijn van een ‘hoe-afdeling’ in plaats van een ‘nee-afdeling’.

3. Werk samen met de CEO om de vooruitgang te meten

Effectieve metingen zijn noodzakelijk om goede cybersecurity-strategieën te ontwikkelen die de tand des tijds kunnen doorstaan. Dat is waar de security-leider en de CEO nauw kunnen samenwerken om duidelijke metingen te ontwikkelen waarmee de board de vooruitgang kan volgen. De metingen moeten passend zijn en op een duidelijke en begrijpelijke manier worden gepresenteerd.

Wat metingen betreft, is het de taak van de CEO om risico-onderwerpen aan te sturen, terwijl het aan de security-leiders is om de board een goed beeld te geven van de risico’s. Daardoor worden de prioriteiten van investeringen en complexe risicoscenario's duidelijk zonder technisch jargon.

De kloof dichten

De beste kans voor een organisatie om een effectieve security-strategie te ontwikkelen, is een betrokken board. Een bestuur dat niet alleen kijkt naar problemen, maar ook kijkt naar oplossingen om de organisatie weerbaarder te maken tegen cybercriminaliteit.
Door de kloof tussen security-leiders en hun board te dichten, kunnen organisaties zich beter voorbereiden op bescherming, opsporing, herstel van en reactie op de steeds algemenere wereld van cybercriminaliteit.

Door: Steve Kenis (foto), Benelux Sales Manager Data Protection Solutions van Dell Technologies

Axians 12/11/2024 t/m 26/11/2024 BN+BW