Er bestaat al heel lang een kloof tussen ‘de business’ en ‘IT’. En nergens is die kloof zo groot als bij IT-security. De CEO en de rest van de directie in de boardroom weten weliswaar dat beveiliging belangrijk is en dat de dreigingen toenemen. Maar de directie beschikt (meestal) niet over technische kennis over security, wat het soms moeilijk maakt om de risico’s voor hun onderneming goed in te kunnen schatten. En daardoor kunnen ze ook geen goede beslissingen nemen over welke investeringen er nodig zijn in beveiliging.
Toch draagt uiteindelijk de directie verantwoordelijkheid bij een beveiligingsincident. Het afgelopen jaar hebben we een aantal grote en breed uitgemeten data-inbraken gezien die ertoe hebben geleid dat CxO’s moesten opstappen. En dat zou toch een wake-up call moeten zijn voor alle directieleden die tot nu toe dachten dat ze hun hoofd wel in het zand konden steken en dat IT-beveiliging een onderwerp is waarmee ze zich niet concreet hoeven bezig te houden.
Hoe kan een CIO of CISO nu aan de directie duidelijk maken wat de risico’s zijn en welke investeringen er nodig zijn om de organisatie daartegen te beschermen?
Blijf het onderwerp aankaarten
De eerste stap is natuurlijk ervoor te zorgen dat security een verantwoordelijkheid wordt voor iedereen aan de directietafel. McKinsey en het World Economic Forum hebben bij ruim 60 van de 500 grootste bedrijven onderzoek gedaan naar hun processen op het gebied van risicomanagement voor cybersecurity. Daaruit bleek dat tijd en aandacht door het senior management de belangrijkste factor was voor de mate waarin cybersecurity risico’s op een goede manier werden beheerd.
Bangmakerij
CIO’s en CISO’s proberen hun investeringen in IT-security soms te rechtvaardigen door vooral de gevaren en risico’s te benadrukken. Maar hoewel het zeker kan zijn om de directie bewust te maken van de risico’s, is het schetsen van allerlei doemscenario’s zeker niet de beste aanpak. Gartner heeft 300 presentaties over risk en security aan directies bekeken. Zij komen tot de conclusie dat het gebruik van ‘FUD’ (Fear, Uncertainty en Doubt) niet effectief is om steun te krijgen van de board. “Executives willen gewoon niet horen wat voor rampen er allemaal kunnen gebeuren als ze niet investeren”, zegt een analist.
Risico
In plaats van het schetsen van allerlei worst-case scenario’s en vervolgens de hand op te houden voor beveiligingsbudget, is het veel zinvoller om de directie dat te bieden waar ze naar op zoek zijn: een eerlijk assessment van de concrete risico’s voor de business. Op basis daarvan kunnen ze vervolgens besluiten nemen op basis van wat zij als een acceptabel risiconiveau zien. Alles volledig dichttimmeren is niet alleen te kostbaar, het is ook niet praktisch. En vaak weten organisaties niet eens wat de gevoeligste en meest waardevolle data zijn. Deloitte adviseert dan ook om de belangrijkste beveiligingsrisico’s voor de business goed in kaart te brengenen en vervolgens aan elk daarvan een specifiek gerichte risicofactor toe te kennen. Aan de hand daarvan kan de directie goed gefundeerde beslissingen nemen over wat de beste beveiligingsinvesteringen zijn.
Regelgeving en compliance
Traditioneel gezien zijn regelgeving en compliance de belangrijkste redenen voor CEO’s en CFO’s om te besluiten tot investeringen in beveiliging. Daarbij gaat om zowel regelgeving door industrie als om nationale en regionale wetgeving, zoals de nieuwe – en nog niet goedgekeurde – EU General Data Protection Regulation en de EU Cybersecurity Directive. Dit zal in landen die al zeer strikte wetgeving op het gebied van databescherming hebben, zoals Duitsland en Zweden, er zeker toe bijdragen dat beveiliging hoger op de agenda komt te staan. Ook de Nederlandse overheid heeft eind 2014 de wetgeving op dit gebied verder aangescherpt. Zo heeft het College Bescherming Persoonsgegevens (CBP), inmiddels omgedoopt tot ‘Autoriteit Persoonsgegevens’, de bevoegdheid gekregen om boetes tot €810.000 op te leggen.
Maar het is niet zeker afdoende om alleen te voldoen aan diverse regelgeving. Gartner waarschuwt er bijvoorbeeld voor dat het voldoen aan compliance-regels niet altijd betekent dat een organisatie ook daadwerkelijk goed is beveiligd. De marktonderzoeker pleit er dan ook voor dat security vooral aangepakt zou moeten worden vanuit het oogpunt van databescherming, niet alleen vanuit het oogpunt van regelgeving.
Waarde en ROI
De beste manier om de directie te overtuigen van de noodzaak voor investeringen in beveiliging, is natuurlijk door de waarde en ROI ervan duidelijk te maken. Alle andere bedrijfsafdelingen moeten de ROI bepalen en dat zou ook moeten gelden voor de IT-beveiliging. Toch blijkt het vaak erg moeilijk om het rendement van beveiligingsinvesteringen aan te tonen. Maar CIO’s en CISO’s kunnen het wel hebben over hoe nieuwe beveiligingstechnologieën kunnen bijdragen aan het verhogen van het vertrouwen van klanten in de onderneming. Denk bijvoorbeeld aan banken die twee-factor authenticatie inzetten en daarmee het vertrouwen van klanten in digitale en online diensten verhogen en tevens de verliezen door fraude omlaag brengen. Of een oliemaatschappij die zijn olievelden op een veilige manier verbindt met de bedrijfsinfrastructuur en zo uitval of onderbreking van de olieproductie voorkomt.
Val de board dus niet lastig met dashboards of allerlei technische metrics rond operationele beveiliging, maak ze niet bang met allerlei doemscenario’s. Probeer er voor te zorgen dat directieleden informatiebeveiliging op een proactieve manier aanvliegen, door de taal te spreken van de ‘C-suite’ – risico’s versus opbrengst en zakelijke waarde. Benadruk beveiliging vooral als ‘business enabler’. Dat is de manier om beveiliging op een goede en doeltreffende manier onder de aandacht te brengen van het hoger management.
Wim van Campen is VP Noord en Oost Europa, Intel Security