De dagen dat de Chief Information Security Officer (CISO) vanuit zijn ivoren toren opereerde zonder aan de directietafel plaats te nemen, zijn voorbij. De rol van de CISO is verschoven: het afstemmen van de strategische planning en het bepalen van het beleid en processen binnen een beveiligingsarchitectuur die is ontworpen om cyber- en bedrijfsrisico’s te minimaliseren, behoren nu tot de kerntaken.

Een bijdrage van Frank Kim, Chief Information Security Officer bij SANS Institute

Het onderwerp cyberdreigingen is een bedrijfsbrede verantwoordelijkheid. Prognoses van Gartner geven aan dat tegen 2026 meer dan 50 procent van de C-level executives voorwaarden met betrekking tot cyberrisico’s in contracten opnemen. Verwachte nieuwe regelgeving van de US Securities and Exchange Commission (SEC) zal ook beursgenoteerde organisaties verplichten om inspanningen op het gebied van cyberbeveiligingsbeheer te openbaren. Meer dan ooit is het van cruciaal belang om CISO’s te positioneren als transformationele leider.

Cybersecurity: een zakelijke prioriteit

De transformationele CISO is de brug tussen cybersecurity en de C-suite. Dat gezegd hebbende, moeten ze in staat zijn om het verband tussen mogelijke cyberincidenten en de zakelijke ‘hick-ups’ te verwoorden. Dat vereist een holistisch begrip van drie fundamentele principes van cyberrisico’s: bedreigingen, kwetsbaarheden en impact.

Vroeger richtten CISO’s zich voornamelijk op de tactische zaken van cyberrisico’s zonder met het grotere geheel rekening te houden. Het inzetten van beveiligingstools om bedreigingen te identificeren en kwetsbaarheden aan te pakken, waren de kerntaken. Het grotere geheel beoordelen was meer een vreemde aangelegenheid. De wereldwijde opmars van cyberaanvallen heeft hier een groot aantal nieuwe variabelen aan toegevoegd. Van geopolitieke spanningen tot digitale afpersers: het cyberdreigingenlandschap is vandaag de dag kwaadaardig, geavanceerd en continu in beweging. De moderne CISO moet op zijn beurt verder gaan dan de dagelijkse operaties, met een focus op the bigger picture.

Om de impact van cyberrisico’s in te schatten, vereist dit inzicht in bedrijfsprocessen en -informatie die goed zijn voor marktvoordeel, omzetgroei en duurzaam succes. Het verkrijgen van dat niveau van begrip is alleen mogelijk door communicatie met bedrijfsleiders. Met dit in het achterhoofd kan de CISO een beveiligingsarchitectuur inrichten, kritieke processen beschermen en bedrijfsonderbrekingen minimaliseren.

“De transformationele CISO is de brug tussen cybersecurity en de C-suite, in staat om het verband tussen mogelijke cyberincidenten en de zakelijke ‘hick-ups’ te verwoorden. Dat vereist een holistisch begrip van drie fundamentele principes van cyberrisico’s: bedreigingen, kwetsbaarheden en impact.”

Frank Kim, Chief Information Security Officer bij SANS Institute

Het creëren van een veiligheidscultuur

De transformationele CISO is verantwoordelijk voor het uitdragen van een bedrijfsbrede cyberweerbaarheidscultuur. Het genereren van dat collectief kan echter niet worden bereikt met een passieve betrokkenheid of one size fits all-trainingen. Vergelijk het met het opvoeden van tieners: alleen omdat we weten wat het beste is voor hen, wil dat nog niet zeggen dat ze altijd zullen luisteren. Als we de waarde achter ons advies effectief kunnen illustreren (en dat aanbieden met hun belang in het achterhoofd) is de kans veel groter dat het zich vertaalt in positieve actie.

Hetzelfde geldt voor CISO’s belast met het opbouwen van een cyberveerkrachtige cultuur. We kunnen niet verwachten dat standaardbeleidsregels zich automatisch vertalen in 100 procent compliance. Voor interne betrokkenheid moet het worden geschaald naar de individuele eindgebruiker. Wanneer een geplaveide weg van protocollen medewerkers wordt voorgeschoteld, zullen zij meer geneigd zijn deze te volgen.

Vijf sleutels tot CISO-succes

Als CISO ervaar ik dat het niet makkelijk om de C-Suite bij cyberbeveiligingskwesties te betrekken. Houd daarom deze aandachtsgebieden aan:

Kies het juiste raamwerk
Selecteer een door de branche erkend raamwerk dat niet alleen aansluit op het risicoprofiel van uw organisatie, maar ook cyberbeveiligingsmaatregelen verduidelijkt voor de C-Suite (en directie).

Meet de volwassenheid
Het is niet genoeg om een securityraamwerk 1-op-1 te adopteren. Terwijl u de verschillende controles implementeert, moet u ervoor zorgen dat u een basislijn maakt en de volwassenheid van uw beste securitymogelijkheden meet.

Benchmark tegen branchegenoten
Naarmate de volwassenheid toeneemt, moet u vaststellen hoe de beveiligingsarchitectuur van de organisatie presteert in relatie tot de sector (om te bepalen u te veel of te weinig uitgeeft).

Stel een optimaal doel in
Organisaties aan ‘de bovenkant’ kunnen besluiten om zichzelf te vergelijken met een meer volwassen branche. Maar zelfs als u voor vergelijkingsdoeleinden binnen de branche blijft, stel dan een doel in dat is gebaseerd op een begrip van bedrijfsrisico’s.

Meet continu de effectiviteit
Worden beperkte middelen effectief gebruikt? Voor organisaties die beveiligingsprogramma implementeren, onderhouden en uitvoeren is het belangrijk deze continu te screenen en te evalueren.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
Besluit je na 3 maanden om participant te blijven, dan krijg je 1/3 van de fee ook direct als voucher retour.

Vind FERM ook op LinkedIn

Deel dit bericht