Home Security Hoe kunnen CISO’s en het bestuur beter samenwerken om zakelijke en cyberrisico’s...

Hoe kunnen CISO’s en het bestuur beter samenwerken om zakelijke en cyberrisico’s te verkleinen?

Trend Micro -
39

Cyberbeveiliging is te belangrijk om te negeren. Toch steken overheden en bedrijven nog te vaak hun kop in het zand wanneer ze geconfronteerd worden met harde feiten over de staat van cyberrisico’s. Zo vindt onderzoek van Trend Micro onder meer dat bedrijfsleiders vaak niet goed naar hun CISO’s luisteren als het gaat om beveiliging. Toch is dit geen eenzijdig probleem. De fout kan ook liggen bij degene die de boodschap overbrengt. Het lijkt er namelijk op dat CISO’s ook nog veel te leren hebben als het gaat om efficiënt en begrijpelijk communiceren en het winnen van het vertrouwen van het bestuur.

Risico’s nemen toe

Een groeiend aantal regels en wetgeving, van NIS2 tot DORA, vereisen inmiddels meer transparantie en verantwoording van het management. Dit kan gezien worden als een reactie op de toenemende cyberrisico’s. Zo blokkeerde Trend Micro in 2023 161 miljard dreigingen, ten opzichte van 82 miljard vijf jaar eerder.

Deze dreigingen bestaan over de hele breedte van het corporate aanvalsoppervlak – van endpoints tot de cloud. Het omvat vaak e-mail-gebaseerde malware en business email compromise (BEC), phishing pagina’s, risicovolle cloud-applicaties, living-off-the-land binaries en zero-day-kwetsbaarheden in IT en OT-assets. Daarnaast dragen veel organisaties onbewust bij aan het escalerende risicolandschap, bijvoorbeeld door vooral te investeren in digitale transformatieprojecten voor de verbetering van de operationele efficiëntie en klantervaringen. Hierbij staat beveiliging niet altijd voorop. De resulterende cloud-applicaties en infrastructuur, AI-projecten, online communicatie-tools en andere digitale systemen zijn een veelgebruikt doelwit voor cybercriminelen. Dat blijkt wel uit recent onderzoek van Trend Micro: meer dan de helft van de middelgrote (59%) en grote (69%) bedrijven had de afgelopen twaalf maanden te maken met een beveiligingslek. Daarnaast zijn crypobetalingen aan ransomwaregroepen hoger dan ooit met meer dan 1 miljard dollar in 2023.

Meer veerkracht is essentieel

Het is dus best gek dat CISO’s claimen dat zij volledig (56%) of gedeeltelijk (42%) vertrouwen hebben in de cyberveerkracht van hun organisatie. In een veerkrachtige organisatie kunnen kritieke diensten blijven draaien, zelfs tijdens een aanval. Dit kan alleen bereikt worden als het bestuur en IT-beveiligingsleiders systematisch samenwerken om risicogebieden te identificeren en te verhelpen. Toch zijn CISO’s in veel organisaties simpelweg niet geloofwaardig in de ogen van het bestuur.

In Nederland geven negen op de tien CISO’s aan dat ze onder druk zijn gezet om de ernst van een cyberrisico te bagatelliseren. Van deze groep zegt 46% dat dit is omdat ze gezien worden als ‘repetitief’ of ‘een zeur’ of als ‘overdreven negatief’. Een derde claimt dat ze zonder meer zijn afgewezen. Dit is niet de manier om een veerkrachtige organisatie te bouwen.

Deze geloofwaardigheidskloof manifesteert zich ook op andere manieren: bijna een derde (29%) van de Nederlandse CISO’s zegt dat cyberbeveiliging nog steeds gezien wordt als onderdeel van IT in plaats van als bedrijfsrisico – een bewijs dat hun boodschap nog niet doorkomt. Daarnaast claimt 40% dat alleen een ernstig incident en/of financieel verlies het bestuur ertoe zou bewegen om actie te ondernemen.

Als bestuursleden wel naar CISO’s luisteren, stellen ze lastigere vragen, kijken kritischer naar problemen en zien ze de verhouding tussen digitale en zakelijke risico’s beter. Daarnaast is het waarschijnlijker dat er een langetermijninvestering zal zijn in strategische cyberbeveiligingsprojecten. Helaas zien we momenteel vaker ongeïnteresseerde en niet betrokken bestuurders die hun CISO’s negeren en alleen betalen als er een serieus incident is. Dit soort reactieve uitgaven zijn onverantwoordelijk en betekenen vaak een investering in point solutions die alleen maar geld kosten en complexiteit toevoegen voor het IT-team. In een worst-case scenario kunnen dit soort uitgaven juist zorgen voor gaten in de beveiliging zonder de oorzaak van een incident aan te pakken.

Spreek elkaars taal

Dus waarom zijn CISO’s niet geloofwaardig in de ogen van het bestuur? Het komt vaak neer op de taal die zij gebruiken. Er wordt bijvoorbeeld veel jargon gebruikt of er worden cijfers getoond waarvan niet direct duidelijk is wat ze betekenen. Dit soort informatie geeft geen antwoord op de eenvoudige, high-level vragen die een bestuur vaak heeft, zoals ‘hoe veilig zijn we?’ of ‘hoe kan cyberbeveiliging onze zakelijke doelen ondersteunen?’.

CISO’s moeten dus hun best doen om zichzelf begrijpelijk te maken. Dat betekent geen jargon en een focus op het bredere bedrijfsrisico. Het betekent het opbouwen van een persoonlijke relatie met bestuursleden. En het betekent dat briefings kort, relevant en frequent moeten zijn. Bedrijfs- en cyberrisico’s ontwikkelen zich onwijs snel. Reguliere updates zijn daarom van groot belang om bestuurders betrokken te houden.

Het goede nieuws is dat CISO’s een goede kans hebben om dit te veranderen. Dit komt met name door nieuwe wetgeving die bedrijfsleiders in sommige gevallen persoonlijk verantwoordelijk maakt voor inbraken. Maar om echt impact te maken hebben CISO’s de juiste data nodig. Dat betekent consistente rapportages, of het nu gaat om beschermende, preventieve middelen of reactieve detectie- en responssystemen. De beste manier om dit te bereiken is via een platformoplossing die ontworpen is om risico’s over het hele aanvalsoppervlak te beheren.

Het dichten van de geloofwaardigheidskloof zal niet eenvoudig zijn voor CISO’s, maar de voordelen spreken voor zichzelf. De helft van de CISO’s die de zakelijke waarde van hun cyberstrategie kunnen aantonen worden niet alleen gezien als betrouwbaarder, maar krijgen ook meer verantwoordelijkheid en budget. Dit is de stap naar meer geloofwaardigheid in de boardroom en dus een hoger niveau van beveiliging voor de gehele organisatie.

Pieter Molen is Technical Director Benelux bij Trend Micro

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in