Gebeurtenissen zoals de recente grootschalige CDK-ransomwareaanval, die eind juni 2024 de deuren van autodealers in de VS deed sluiten, roepen nauwelijks nog verbazing bij het publiek op.
Toch zijn bedrijven en de mensen die ze leiden terecht nerveus. Elke CISO weet dat cybersecurity een steeds populairder onderwerp is voor zowel leidinggevenden als bestuursleden. En wanneer de onvermijdelijke CISO/Board briefing eraan komt, wil iedereen antwoorden: Zijn we veilig voor aanvallen? Boeken we vooruitgang? Zouden
Dit zijn allemaal terechte zorgen.
De vraag is, hoe beantwoorden we ze het beste? Een bedrijfsbestuur verdient duidelijke, beknopte informatie die is gekoppeld aan bedrijfsdoelen, geen technische details over oplossingen of aanvalsmethoden. Een communicatiekloof tussen de CISO en het bestuur kan leiden tot misverstanden, verhoogd risico en mogelijk verwoestende cyberaanvallen. En dit is waarom een van de grootste uitdagingen voor CISO’s vandaag de dag nog steeds is: hoe kunnen we risico’s op een manier presenteren die het bestuur kan begrijpen en gebruiken om weloverwogen beslissingen te nemen?
Bekijk XM Cyber’s nieuwe eBook, A CISO’s Guide to Reporting Risk to the Board. Het staat vol met strategieën en tips om u te helpen eindelijk met vertrouwen en nauwkeurigheid vragen van het bestuur over risico te beantwoorden. Door een plan op te stellen voor duidelijke communicatie en meetbare voortgang, kunnen CISO’s eindelijk vertrouwen in de bestuurskamer opbouwen en de middelen veiligstellen die nodig zijn om cyberrisico’s effectief te beheren.
De cijfers spreken
Ondanks deze duidelijke en dringende behoefte aan communicatie, onthulde recent onderzoek door Heidrick en Struggles, toonaangevende executive search en corporate culture consulting services, een zorgwekkende kloof tussen CISO’s en CEO’s. Slechts 5% van de CISO’s rapporteert rechtstreeks aan de CEO, wat wijst op een mogelijk gebrek aan invloed op hoog niveau, en 2⁄3 van de CISO’s zitten twee niveaus lager dan de CEO in de rapportagestructuur.
Dit betekent dat de meerderheid van de cybersecurityleiders nog steeds een aantal stappen verwijderd is van de besluitvorming van de organisatie. De studie van het Ponemon Institute ontdekte ook dat slechts 37% van de organisaties denkt dat ze de expertise van hun CISO effectief benutten. Onderzoek van Gartner benadrukt een vergelijkbare trend: slechts 10% van de besturen heeft momenteel een speciaal cybersecuritycomité dat wordt aangestuurd door een bestuurslid.
Deze cijfers leggen significante zwakheden bloot in de manier waarop organisaties rapportages structureren en hoe besturen briefings ontvangen. Ondanks een directere rol voor CISO’s, blijft de uitdaging om risico’s te vertalen naar duidelijke zakelijke termen bestaan.
De vragen
Als CISO kunt u door uzelf deze vijf kernvragen te stellen de kloof tussen bestuur en directie overbruggen, een duidelijk beeld schetsen van de cybersecurity-situatie en de ondersteuning krijgen die nodig is om risico’s effectief te beheren:
1. Hoe rechtvaardig ik mijn cybersecuritybudget?
CISO’s begrijpen dat sterke cybersecurity voortdurende investeringen vereist. Zonder een duidelijke rechtvaardiging lopen uw budgetaanvragen het risico te worden verlaagd of ronduit te worden afgewezen. Bewijs dus dat uw doelen niet alleen haalbaar zijn, maar ook de moeite waard door het rendement op investeringen in cybersecurity aan te tonen. Laat tegenstanders zien dat u door het beveiligen van middelen om kritieke gegevens en infrastructuur te beschermen, uiteindelijk de financiële gezondheid van de organisatie beschermt.
2. Hoe word ik een meester in het rapporteren van risico’s?
Het beheersen van risicorapportage is cruciaal als u de perceptie van cybersecurity door leidinggevenden wilt veranderen. Niet-technische doelgroepen worstelen met complexe beveiligingsbedreigingen. Daarom moeten uw rapporten duidelijk en datagedreven zijn. Ze moeten risico’s kwantificeren in zakelijke termen, waarbij potentiële financiële verliezen door inbreuken worden benadrukt. Op deze manier toont u de waarde van beveiligingsinvesteringen aan bij het beschermen van het financiële welzijn van de organisatie, waardoor cybersecurity verschuift van een kostenpost naar een business enabler.
3. Hoe vier ik prestaties op het gebied van beveiliging?
Richt u niet alleen op problemen; het vieren van security-overwinningen is cruciaal. Het erkennen van de successen van uw team verhoogt het moreel van de organisatie, bevordert een cultuur van security-bewustzijn en benadrukt de waarde van cybersecurity-investeringen. Publieke erkenning van aanvallen die zijn afgeweerd, kan aanvallers tegelijkertijd afschrikken en belanghebbenden geruststellen over de toewijding van de organisatie aan gegevensbescherming.
4. Hoe kan ik beter samenwerken met andere teams?
Effectieve CISO’s begrijpen dat cybersecurity geen solo-inspanning is. Sterke beveiliging is afhankelijk van een bedrijfsbrede toewijding aan waakzaamheid. Daarom is samenwerking met andere afdelingen zoals IT, HR en Legal essentieel. Door samen te werken, kunnen CISO’s beveiligingsbewustzijnstraining integreren in onboarding- en ontwikkelingsprogramma’s voor werknemers. Bovendien kunnen uw gezamenlijke inspanningen leiden tot duidelijkere beveiligingsbeleidsregels die aansluiten bij bedrijfsprocessen. En samenwerking versterkt incidentresponsprotocollen, wat zorgt voor een snelle en gecoördineerde reactie op beveiligingsinbreuken.
5. Hoe kan ik mij concentreren op wat het belangrijkst is?
CISO’s worden gebombardeerd met bedreigingen en taken. Prioritering is essentieel. Door te focussen op wat er echt toe doet, worden middelen effectief ingezet. Dit betekent dat u de meest kritieke beveiligingsrisico’s identificeert, deze afstemt op de bedrijfsdoelen van uw organisatie en ze strategisch aanpakt. Door nee te zeggen tegen afleidingen en u te richten op initiatieven met een grote impact, kunt u de beveiligingshouding optimaliseren en de algehele veerkracht van uw organisatie maximaliseren.
De kloof overbruggen: effectieve communicatie voor CISO’s
De toenemende vloedgolf van cyberaanvallen vereist duidelijke communicatie tussen CISO’s en besturen. Om deze kloof te dichten en cruciale ondersteuning te krijgen, moeten CISO’s prioriteit geven aan effectieve risicocommunicatie. Laat het technische jargon varen en vertaal complexe bedreigingen naar zakelijke termen. Benadruk de financiële impact van cyberaanvallen, mogelijke reputatieschade en verstoringen van kernactiviteiten. Door cybersecurity als een bedrijfsprobleem te framen, kunnen CISO’s buy-in van het bestuur krijgen voor essentiële beveiligingsinvesteringen. (Bekijk dit geweldige artikel voor meer tips over hoe u executive buy-in kunt krijgen voor beveiligingsinitiatieven hier.)
Vergeet daarnaast niet dat communicatie verder gaat dan alleen het presenteren van problemen. CISO’s moeten ook vooruitgang aantonen en afstappen van basisstatistieken om datagestuurde rapporten te ontwikkelen die de effectiviteit van beveiligingsinvesteringen laten zien. Belangrijke statistieken moeten worden bijgehouden, zoals verminderingen in succesvolle aanvallen of de tijd die nodig is om inbreuken te identificeren en in te dammen. Deze aantoonbare datapunten helpen uw boodschap over te brengen.
Bekijk XM Cyber’s nieuwe eBook, A CISO’s Guide to Reporting Risk to the Board. Het staat vol met strategieën en tips om u te helpen eindelijk met vertrouwen en nauwkeurigheid vragen van het bestuur over risico te beantwoorden. Door een plan op te stellen voor duidelijke communicatie en meetbare voortgang, kunnen CISO’s eindelijk vertrouwen in de bestuurskamer opbouwen en de middelen veiligstellen die nodig zijn om cyberrisico’s effectief te beheren.
