Cyberbeveiliging bespreken met de raad van bestuur

Wanneer een CISO of een andere cyberbeveiliger de bestuurskamer binnenloopt, zetten de bestuursleden zich vaak schrap voor een steeds groter budgetverzoek. En zo benaderen veel cybersecurityprofessionals hun tijd met de raad van bestuur: Als een kans om te pleiten voor meer fondsen. De bestuursleden vragen zich ondertussen af waarom de miljoenen die ze al hadden goedgekeurd voor firewalls, e-mailgateways en anti-malwaresoftware niet voldoende waren.

Er zijn cyberbeveiligingsmanagers die voor de tegenovergestelde benadering kiezen. Voor hen gaat hun kostbare tijd met de directie "niet over het krijgen van meer geld", zegt Josh Douglas, vice-president threat intelligence bij Mimecast. "Het gaat erom te communiceren hoe ze het bedrijf geld kunnen besparen door te laten zien hoe ze het bedrijf veiliger maken."

Het is een magische truc die een presentatie van het bestuur verandert van het zoveelste verzoek om financiering in een discussie over de cyberbeveiligingsstatus van de organisatie en de beste strategieën voor de toekomst.

Het gesprek over bedreigingsinformatie veranderen

Om cyberrisico's effectief aan te pakken, is het van cruciaal belang de steun van het bestuur te winnen, maar het blijft voor veel cyberprofessionals een uitdaging om de waarde van cyberbeveiliging te communiceren. Dit maakt het voor hen moeilijk om de vereiste investeringen in tools en mankracht veilig te stellen om het steeds veranderende bedreigingslandschap bij te houden. "Als je de waarde niet goed verwoordt," zegt Mark Toshack, Principal Product Manager bij Mimecast, "zul je nooit middelen krijgen om het gevaar te bestrijden."

Cyberbeveiligingsdeskundigen willen de directie misschien imponeren met de verzekering dat het bedrijf beschermd is tegen aanvallen. Maar nu de dreigingen bijna dagelijks toenemen, is dit misschien een belofte die ze niet kunnen waarmaken. Een betere aanpak, zegt Douglas, is het identificeren van de dingen die je wel kunt controleren.

Dat begint met de raad van bestuur ervan te verzekeren dat de IT- en cyberbeveiligingsorganisatie haar middelen zo goed mogelijk gebruikt, in plaats van te vragen om nog meer hulpmiddelen of investeringen.

Als er inderdaad gaten zitten in de verdediging van het bedrijf, is een effectieve manier om dat onder de aandacht van de raad van bestuur te brengen een gebied waar kosten kunnen worden bespaard onder de aandacht te brengen en uit te leggen hoe die fondsen kunnen worden herbestemd om enkele van de gaten te dichten zonder extra financiering. "Dat leidt tot een heel andere discussie met de raad van bestuur dan wanneer je naar binnen gaat en ze vertelt dat we dit en dat stuk missen," zegt Douglas. "Het is een heel ander verhaal."

Een nieuwe manier om cyberrisico's te meten en erover te rapporteren

Een andere fout die leidinggevenden op het gebied van cyberbeveiliging maken bij de communicatie met de raad van bestuur heeft te maken met het soort meetgegevens dat zij gebruiken. Het kwantificeren van de cyberbeveiligingspositie van het bedrijf aan de hand van het aantal producten dat is geïnstalleerd of het aantal bedreigingen dat de firewall de afgelopen maand heeft onderschept, werkt contraproductief, omdat dit soort informatie niet de werkelijke staat van de bedrijfsverdediging weergeeft. De directie daarentegen wil weten hoe goed het cyberbeveiligingsteam is voorbereid om eventuele aanvallen onschadelijk te maken. "Ze willen weten dat we er klaar voor zijn, ongeacht wat een tegenstander ons voor de voeten werpt," zegt Douglas. "Dat betekent een verschuiving van grotendeels kwantitatieve metrics naar wat meer kwalitatieve."

Dergelijke maatregelen kunnen bestaan uit het beoordelen van de mate waarin werknemers zich bewust zijn van cyberbeveiligingsrisico's en de stappen die ze moeten nemen om die risico's te beperken, het risicoprofiel van het bedrijf in vergelijking met andere leden van de sector en de vooruitgang die tot nu toe is geboekt bij het dichten van gaten in de kwetsbaarheid. Een doeltreffend hulpmiddel om deze informatie te presenteren, is een dashboard dat deze maatregelen in de loop van de tijd visueel kan vergelijken en contrasteren.

Het gebruik van een dashboard als dit kan leidinggevenden op het gebied van cyberbeveiliging een voorsprong geven in de directiekamer. Ze kunnen meten, bijhouden en uiteindelijk rapporteren aan de raad van bestuur over de inspanningen van de organisatie om de grootste risicofactoren voor cyberbeveiliging te beheren, waaronder menselijke fouten en misbruik van het merk van het bedrijf. Een dergelijk dashboard biedt een momentopname van hoe de organisatie vordert met cyberbewustzijnstraining en merkbeschermingsinspanningen - en laat zien waar vooruitgang is geboekt en waar meer werk nodig kan zijn.

Toshack: "Dat verandert het gesprek van een defensief gesprek, waarin de cyberbeveiligingsleider onder druk staat om dingen uit te leggen, in een gesprek waarin hij of zij kan laten zien hoe de investeringen van de organisatie het beveiligingsniveau hebben verbeterd en wat de plannen zijn voor verbetering in de toekomst."

Douglas voegt eraan toe dat dit precies is wat de raad van bestuur wil weten: hoe het bedrijf het doet, hoe het zich verhoudt tot alle anderen en welke stappen er worden ondernomen om eventuele zwakke plekken te versterken. "Als je die vragen kunt beantwoorden," zegt hij, "zal de raad van bestuur er vertrouwen in hebben dat je goed werk levert."

De kern van de zaak

CISO's en andere leidinggevenden op het gebied van cyberbeveiliging begaan een vergissing als ze hun gesprek met de raad van bestuur zien als een gelegenheid om meer geld te vragen. Een veel effectievere aanpak is het beschrijven van de belangrijkste kwetsbaarheden van het bedrijf, de stappen die zijn ondernomen om die risico's te verkleinen en de zwakke punten of tekortkomingen die nog moeten worden aangepakt.