4 tips om je bedrijf veiliger (en bewuster) te maken
16-11-2015
De CIO moet eens meer zelfkennis tonen en zijn tekortkomingen compenseren.
Het ontbreekt aan kennis op het gebied van security in de directiekamer en meer zelfkennis is de eerste stap naar een oplossing. Ja, als CIO wil je overal van weten en zeker van alle bedreigingen die er op je afkomen. Maar: de materie is te complex.
Zelfs zo complex dat je het zonder specialisme op het gebied van IT-beveiliging het eenvoudigweg niet meer kan bijbenen. Tijd dus voor omdenken!
Hoewel in principe alle organisaties slachtoffer van hackers kunnen worden, lopen bepaalde bedrijven wel een verhoogd risico. Dat zijn vooral bedrijven waar de urgentie en kennis van het thema cybersecurity in de boardroom ontbreekt.
Uit een recent onderzoek (juni 2015) van het Ponemon Institute onder 245 bestuurders en 409 IT-professionals, blijkt dat 70 procent van alle directieleden vertrouwen heeft dat zij over voldoende kennis beschikken over de securityrisico's waarmee hun organisatie te maken kan krijgen.
Deze mate van zelfvertrouwen lijkt hoopgevend, maar uit het onderzoek kwam ook naar voren dat slechts 43 procent van alle experts in IT-security daar het hetzelfde over denkt. Een schril contrast.
Security heeft een dusdanig complex, technisch, veelomvattend en dynamisch karakter dat het bijna onmogelijk is om van alle aspecten 100 procent op de hoogte te zijn. Zeker als CIO is het lastig om alle ontwikkelingen bij te benen en het risicolandschap te doorgronden.
IT-professionals hebben daarom een belangrijke rol bij het identificeren en beoordelen van risico's en zullen de belangrijkste risico's vervolgens moeten door vertalen naar directieniveau. Vervolgens kan het C-level management deze risico's organisatiebreed op de agenda zetten, duidelijke richtlijnen en strategieƫn ontwikkelen en een bedrijfscultuur creƫren waarin de regels en procedures omtrent cybersecurity voor iedereen helder zijn.
Het creƫren van een open dialoog binnen de organisatie is daarbij uiterst essentieel. Maar hoe zorg je als directie voor een succesvolle samenwerking met IT-experts op het gebied van security?
Haal de expertise in huis
Door het toenemende belang van een goed cybersecuritybeleid, is het verstandig om op directieniveau iemand aan te stellen die de taal van 'security' spreekt. Deze rol fungeert in feite dan als tolk tussen de directieleden en de IT-professionals.
Aangezien het technologische landschap voortdurend verandert, kan het ook zinvol zijn om een expert in te huren. Diegene kan de technische details in verband brengen met de bedrijfsbrede corporate governance, de directie helpen met het evalueren van potentiƫle risicokosten en bijdragen aan het opstellen van een actieplan voor het elimineren van deze risico's.
Een subcomitƩ dat zich toelegt op de analyse en beoordeling van risico's kan eveneens uitkomst bieden. Zo wordt er meer tijd en aandacht besteed aan het effectief ondervangen van risico's en het minimaliseren van de impact van eventuele incidenten op de bedrijfsvoering.
Onderwijs met informatiesessies
Niet iedere organisatie heeft de middelen in huis om een expert als directielid te benoemen. In dat geval kan een maandelijkse of driemaandelijkse informatiesessie van nut zijn.
Hiermee kan het kennisniveau op peil worden gehouden en ervoor gezorgd worden dat het thema op de agenda blijft. Door deze vorm krijgt men op hoog niveau meer inzicht in het huidige landschap en ontstaat er een cultuur waarin mensen moeilijke vragen over risico's durven te stellen.
Creƫer een compliance-cultuur
Naast het op peil houden van het eigen kennisniveau, is het ook van belang om de rest van de organisatie bewust te maken en eventueel concrete richtlijnen op te stellen met betrekking tot security.
Een goede eerste stap is om te beginnen met het implementeren van securityoplossingen. Daarnaast kan de werkvloer ook worden voorzien van bepaalde oplossingen waarmee zij bedrijfskritische informatie op een veilige manier kunnen opslaan, bewerken en delen.
Het is van belang om medewerkers bewust te maken van de veiligheidsrisico's en ze te motiveren om hier op verantwoordelijke wijze mee om te gaan.
Maak van de CIO-post een duo-taak
Dat de urgentie rondom security is doorgedrongen op directieniveau is een goed teken. Maar nu is het tijd voor actie. In een digitaal tijdperk zal de board moeten onderkennen dat nieuwe kennis en vaardigheden nodig zijn om een goed security- en responsbeleid op te tekenen. Een introductie van een nieuwe security-rol in de boardroom is dan ook nodig om dit te bewerkstelligen.
Daarbij mag men niet uit het oog verliezen dat de echte technische kennis zich natuurlijk al bevindt in de organisatie. De IT-experts en de board zullen nauwer moeten samenwerken en kennis moeten delen om de veiligheid te borgen. Een relatie gebaseerd op openheid en vertrouwen is nodig om de uitdagingen van het voortdurend veranderende securitylandschap het hoofd te bieden. IT speelt hierin een leidende rol en kan zo de organisatie een stuk veiliger maken.
CIO.NLĀ Jesse Thiel