Security bovenaan je prioriteitenlijst? Absoluut!
Maar hoe zet je investeringen voor cybersecurity op de agenda van de directie?
Ben jij IT Manager, Chief Information Security Officer (CISO) of Functionaris voor gegevensbescherming (FG), dan weet je waarschijnlijk als geen ander wat het belang van een goede cybersecurity is. Maar is de directie van je organisatie ook doordrongen van dit feit? Vaak heeft nog geen 2% van de directie of raad van bestuur ervaring met IT, laat staan met cybersecurity. Toch blijkt dat bestuursorganen steeds meer de urgentie inzien van de gevaren en risico’s van slecht afgedichte IT. In dit blog geven we je praktische tips en tricks om dit onderwerp goed op de agenda te krijgen zodat je resources vrij kunt maken om structureel met cybersecurity aan de slag te gaan.
Steeds vaker komen grote security issues aan het licht en worden concullega’s of bedrijven om de hoek slachtoffer van cyberincidenten. Het is geen ver van je bed show meer. Dus ondanks dat er vaak weinig affiniteit bij het bestuur is met ICT gerelateerde zaken, is er in potentie een grote welwillendheid om cybersecurity op de agenda te zetten. Vooral als je je bedenkt dat de primaire focus van de top van een organisatie zit in continuïteit, risicobeperking, reputatiemanagement en financiële stabiliteit. De risico's die je organisatie op deze gebieden loopt zijn enorm, reden te meer om ervoor te zorgen dat Cybersecurity een vast onderdeel wordt van het beleid.
Belangrijk bij het op de agenda krijgen van cybersecurity is dat de prioriteiten voor het bestuur helder worden in je pitch. Voor het bestuur moet het inzichtelijk worden wat het belang van een aanpak is en wat de Return on Investment (ROI) is van een cybersecurityaanpak.
Ga eens het gesprek aan over onderstaande vragen:
Op basis hiervan wordt een één oogopslag duidelijk dat cybersecurity (of beter gezegd; het niet actief bezig zijn met) al deze facetten raakt.
Het bestuur heeft een andere prioriteit dan jij hebt. Hun belang ligt breder, waarbij ze altijd een afweging moeten maken waar in de organisatie geïnvesteerd moet worden voor optimalisatie of risicobeperking. Het is dus belangrijk om je goed in te leven in hun beweegredenen. Hieronder hebben we een paar tips op een rij gezet om het gesprek over Cybersecurity aan te doen. Natuurlijk met als doel om dit op de agenda te zetten en structureel aandacht aan te gaan besteden.
Wordt niet te technisch in het gesprek met bestuursleden
Weliswaar heeft een groot gedeelte van de directie of bestuur niet veel kennis van technische zaken, maar ze kunnen allemaal goed meepraten over een risico-inventarisatie of risicobeheersplan. Zorg daarom dat de discussie niet te technisch van aard wordt, deze is van onderschikt belang voor hen; bedrijfsrisico’s en reputatieschade des te meer. Zorg dat je hier de focus op legt.
Gebruik recente cases om het belang te benadrukken
Om de waarde van deze eerder besproken punten te benadrukken is het goed om deze tegen concrete scenario’s aan te houden. Zo wordt de discussie minder theoretisch. De gevaren zijn echt én kunnen iedere onderneming treffen.
Scenario 1 - Dus de klantdata is belangrijk voor de organisatie? Stel je voor dat alle financiële gegevens van je organisatie op straat liggen. Los van een torenhoge boete zul je nooit meer de vertrouwensband met je klanten hebben. Klanten lopen weg en je doelstellingen zullen niet worden behaald.
Scenario 2 - Dus het intellectueel eigendom is van belang voor de organisatie? Stel je voor dat je technische ontwerp wordt gestolen door hackers en deze open en bloot op straat komen te liggen. De markt komt hiermee volledig open te liggen waardoor je elk voordeel kwijt bent. Sales komt direct stil te liggen.
Scenario 3 - Leverbetrouwbaarheid is dus belangrijk voor je organisatie? Stel je wordt gehackt en al je productiefaciliteiten liggen dagenlang plat door een ransomware-aanval. Er is geen sprake meer van bevoorrading en tot maanden na de aanval loop je achter de feiten aan en heb je hoge kosten om de effecten van de aanval op te lossen. Om nog maar niet te spreken over een eventuele losgeldbetaling.
Maak het belang hiermee zo concreet mogelijk waardoor er ruimte vrijkomt om concreet en structureel aan de slag te gaan met een verbeterd IT Security beleid.
Betrek een onafhankelijke partij in het gesprek
Wil je het belang van een goed IT Security beleid onder de aandacht brengen? Dan is het verstandig om een externe partij te betrekken die je vertrouwt en die je bestuur oprechte feedback en input kan geven op dit onderwerp. Wij voeren regelmatig security scans uit bij bedrijven, zelfs als het beheercontract bij een andere partij ligt, om een onafhankelijk rapport te kunnen leveren over de huidige staat van security binnen de organisatie Door deze bevindingen te vertalen naar de risico’s van de organisatie, zorg je voor een concrete aanbeveling. Dit maakt de stap naar actie veel kleiner.
Navigeer je bestuur of directie door de mogelijkheden van risicobeperking
Het bestuur is op zoek naar input om het risiconiveau te beperken. Help ze daarbij in het maken van afwegingen rondom securitybeleid en begeleid het proces. Maar stap niet in de valkuil om het beleid te gaan dicteren. Help ze met jouw expertise om richting te geven aan het beleid; jij navigeert, zij sturen. Dit maakt de slagingskans van een goed beleid groter.
Maak van IT Security geen kostenpost maar een verkoopkans
Voor sommige organisaties voelt IT vaak als een noodzakelijk kwaad en uitsluitend als kostenpost. En ja, goede IT Security komt niet gratis aanwaaien. Daar staat wel tegenover dat goede IT Security ook zorgt voor business opportunity’s. Denk aan klanten die veel waarde hechten aan een streng beveiligde omgeving omdat ze met privé gegevens werkten. Waar maatschappelijk verantwoord ondernemen ooit ook werd gezien als kostenpost is dit voor veel bedrijven nu een USP geworden. Draai IT Security daarom om en gebruik dit in je voordeel.
Wil je meer lezen of dit onderwerp? Lees dan ook de paper van Microsoft genaamd ‘De kosten van Inactiviteit’. Wil jij graag een onafhankelijke partij laten meekijken naar je huidige IT Security en direct inzicht in waar je risico loopt en waar de gaten zitten? Vraag dan onze Vulnerability Scan aan. Je ontvangt vervolgens een uitgebreid rapport met de uitkomsten én aanbevelingen om direct je IT security level te verbeteren. Dit rapport kun je tevens gebruiken als gesprekstarter wanneer je het gesprek aan gaat over cybersecurity binnen je organisatie. Win-win situatie dus.