Zo krijg je als CISO security op de boardroom-agenda
Cyberincidenten en datadiefstal behoren dit jaar voor het eerst wereldwijd tot de grootste bedrijfsrisico’s. Nu de risico’s toenemen, zou je verwachten dat dit onderwerp automatisch hogere prioriteit krijgt in de boardroom. Toch wordt security in veel bedrijven nog altijd gezien als een kostenpost van de IT-afdeling in plaats van als een belangrijke enabler van de bedrijfsstrategie. Daardoor blijft het onderwerp nog steeds onderbelicht. Om dit probleem op te lossen en security wél standaard onderdeel te maken van de boardroom-agenda zouden CISO’s de volgende stappen moeten nemen:
1. Bedrijfsdoelen eerst, dan pas techniek
De traditionele CISO heeft de neiging om vanuit zijn IT-achtergrond de boardroom te te informeren over alle technische mogelijkheden die hij heeft om de security van het bedrijf zo goed mogelijk in te richten. Het gevolg daarvan is dat boardroom-leden security vaak te complex en ingewikkeld vinden en afhaken op het onderwerp.
Een goede CISO pakt dit helemaal anders aan. Die zorgt ervoor dat hij de taal van de board wél spreekt en de boardmembers goed en persoonlijk kent. Want hij of zij weet dat dit de sleutel is tot succes. Een slimme CISO vergeet dus eerst alles dat hij weet over techniek en security strategieën en vraagt de board eerst eens uitvoerig naar de ambities en bedrijfsdoelstellingen. Hij laat ze daarbij ook aangeven aan welk van deze doelen het bedrijf prioriteit geeft. Als je de bedrijfsdoelstellingen kent, is het immers veel makkelijker in te schatten welke business units het meeste bijdragen aan deze doelen. De applicaties en systemen op deze belangrijke afdelingen hebben namelijk automatisch meer security nodig.
Bijkomend voordeel van deze aanpak is ook dat er een besef ontstaat bij de board dat ze - gebaseerd op de investering die willen doen - zelf ook een belangrijke rol hebben in het bepalen van het security risico dat ze als bedrijf willen lopen.
2. Risicoprofielen opstellen op basis van bedrijfsdoelstellingen
Zodra de CISO de bedrijfsdoelstellingen goed kent, kan hij security risicoprofielen per business unit opstellen en deze koppelen aan zijn security beleid en het benodigde security budget. Zo ontstaat een security aanpak gebaseerd op een top down benadering. Veel CISO’s stappen echter in de valkuil om bottom up tegen de board over security praten waarbij ze redeneren vanuit hun technologie-kennis. Helaas zeggen de technologie-metrics die ze dan presenteren, de boardroom-leden vaak weinig waardoor ze hun interesse snel zullen verliezen. Kies daarom altijd voor metrics die de bijdrage van security laten zien aan het succesvol behalen van de bedrijfsdoelstellingen. Alle andere metrics houdt een goede CISO liever voor zichzelf.
3. Bepaal het benodigde security niveau
Als de risicoprofielen per business unit bekend zijn, is de volgende stap om te kijken welk security niveau er nodig is. Is het echt nodig om elk systeem op de facilitaire afdeling om de vijf dagen te patchen of is één keer per maand voor een minder bedrijfskritische afdeling als deze ook voldoende? Minder vaak patchen is immers vaak een stuk goedkoper.
Bij veel bedrijven wordt ten onrechte aangenomen dat als de IT-afdeling het security-budget heeft uitgegeven, de beveiliging wel op orde zal zijn. Niets is minder waar. Sterker nog bij traditionele IT-security wordt vaak 80% van het budget besteed aan 20% relevante security. Door eerst heel goed te kijken naar het benodigde security niveau per business unit kan de CISO dit voorkomen en tot een uitgebalanceerd budgetvoorstel komen voor zijn security beleid. Dan zul je direct zien dat de betrokkenheid van de board toeneemt want deze taal begrijpt de boardroom wel.
4. Verhoog de security maturity per business unit
Zodra bekend is bij welke business units de security maturity omhoog moet, kan de CISO aan de slag. Start altijd met een nulmeting van de huidige security maturity. Deze nulmeting kan uitgevoerd worden aan de hand van de gehanteerde compliance modellen of er kan een externe partij voor worden ingehuurd.
Presenteer vervolgens enkele korte- en lange termijn doelstellingen aan de board waarin wordt aangegeven hoe de security maturity verbeterd gaat worden. Deel resultaten regelmatig met de board en zorg dat ze gerelateerd zijn aan onderwerpen die belangrijk zijn in de boardroom zoals imagoverbetering en hogere tevredenheid bij medewerkers.
5. Maak security integraal onderdeel van het bedrijfsproces
Door structureel aan de slag te gaan met het verwezenlijken van deze doelstellingen ontstaat er een hogere security maturity bij het bedrijf. Het ultieme doel is daarbij dat security een integraal onderdeel wordt van het bedrijfsproces. Hiermee kan de organisatie de time to market bij het bouwen van applicaties verkorten, de kwaliteit van producten verhogen en meer concurrentievoordeel behalen. Dan stelt security het bedrijf dus ook écht in staat de bedrijfsdoelstellingen samen met de board eerder te realiseren.
De balans tussen security en het runnen van het bedrijf
De ultieme uitdaging voor elk bedrijf is om de behoefte aan security in balans te brengen met het verlangen een bedrijf zo goed mogelijk te runnen. Een goede CISO snapt dit dilemma. Als ‘trusted advisor’ moet hij - met de bedrijfsdoelstellingen in het achterhoofd - in staat zijn de vertaalslag te maken naar de board over hoe deze balans het beste te vinden is. Lukt het de CISO deze rol te pakken, dan zul je zien dat security nooit meer een onderbelichte rol zal hebben in de boardroom van zijn bedrijf.