Dit is hoe je cybersecurity op de kaart zet bij het management
Versterk de cyber skills van het leiderschap
4 augustus 2022 -
Het aantal cyberrechtzaken van aandeelhouders van bedrijven neemt enorm toe. Zo nam Capital One genoegen met 190 miljoen dollar en werd er recent een nieuwe rechtszaak aangespannen tegen Ultimate Kronos Group voor vermeende nalatigheid toen bleek dat een slecht cybersecurity-systeem de oorzaak was van een ransomware-aanval.
"Deze twee recente zaken onderstrepen het risico dat bedrijven lopen in de voortdurende oorlog tegen cyberdreigingen. Bedrijven waarbij werd ingebroken, hadden al moeite met de directe impact van een cyberaanval - downtime, verlies van data, winstderving, reputatieschade en boetes - maar nu staat ook steeds vaker een rechtszaak op het spel. Consumenten, investeerders en andere gedupeerde partijen beweren dat bedrijven (en hun Raden van Bestuur) meer hadden moeten doen om gevoelige informatie te beschermen," legt Dave Russell, Vice President of Enterprise Strategy bij Veeam, uit. "Natuurlijk hebben de meeste bedrijven inmiddels stappen ondernomen om de cybersecurity te verbeteren, maar inbraken blijven aan de orde van de dag. En zo ook het risico op een rechtszaak. Het probleem is dat cybersecurity bij veel bedrijven nog altijd geen organisatiebrede prioriteit is. Dit geldt vaker voor het MKB, maar is ook nog altijd aan de orde bij sommige grote bedrijven. Er wordt daarbij vooral gekeken naar IT-managers om een beveiligingsstrategie op te zetten en uit te voeren. Zakelijke leiders worden amper betrokken en logischerwijs staat cybersecurity dan ook niet hoog op de agenda."
Het is tijd dat dat verandert. Dit zijn vier stappen die bedrijven kunnen nemen om cybersecurity te prioriteren op leiderschapsniveau:
1. Versterk de cyber skills van het leiderschap
"Het bestuur moet een actievere rol nemen in het versterken van de cybersecurity. CEO’s moeten er echter ook voor zorgen dat zij hiertoe in staat zijn. Dit gaat verder dan het voeren van corrigerende gesprekken met IT- en bedrijfsleiders over medewerkers. Leden van het bestuur moeten opgeleid worden om het hoofd te kunnen bieden aan de continue cyber-uitdagingen," aldus Russell. "Zij kunnen starten met het beoordelen van het vaardigheidsniveau op het gebied van cyber van hun leden. Dit kunnen zij zelf doen, of hier kan een expert voor ingehuurd worden. Deze experts kunnen subcommissies leiden en directer communiceren met bedrijfs- en IT-leiders over cyberstrategieën. Ten tweede moet het hele bestuur een jaarlijkse of halfjaarlijkse training volgen om het evoluerende cyberlandschap beter te begrijpen. Een bestuur dat goed thuis is in cyberkwesties, kan beter risico’s, aansprakelijkheden en technische problemen aanpakken."
2. Creëer vrije informatie-uitwisseling
Zodra het bestuur eenmaal op de hoogte is, is het de taak van het management om een mechanisme te ontwikkelen van consistente communicatie over cyberrisico’s en -strategieën. Dat vind ook Dave Russell: "Managers moeten tijd vrijmaken voor interactie over plannen, procedures en lopende problemen met betrekking tot cyberrisico’s. Het is daarbij belangrijk dat dit mechanisme alle belanghebbenden omvat - van zakelijke leiders tot IT en van juridisch personeel tot HR en marketing. Hoewel beveiligingsstrategieën nog steeds worden beheerd door IT, snijden strategie en implementatie door alle afdeling heen en strekt het zich uit tot aan het bestuur." Interacties moeten een blijvend onderdeel worden van de voortdurende verantwoordelijkheden van het bestuur en managers moeten hen hierin begeleiden.
3. Wijs een ‘executive sponsor’ aan
Hoewel elke laag van de organisatie betrokken hoort te zijn, is het belangrijk om het opstellen van een response-plan bij één persoon te leggen. Die persoon hoeft niet het hele plan te ontwikkelen, maar is wel verantwoordelijk als het gaat om de uitvoering daarvan. "Dit moet een leider zijn die de autoriteit heeft om verandering aan te sturen en de organisatie op één lijn te krijgen. In theorie zou de CIO, CISO of CSO goed gepositioneerd moeten zijn voor deze taak," zegt Russell.
Het is logisch voor een organisatie om een bedrijfsleider in deze rol te installeren - iemand wiens baan verband houdt met inkomstengenererende activiteiten in plaats van met technologie. "Deze persoon moet contact houden met IT-leiders, maar de taak benaderen vanuit bedrijfsstrategisch oogpunt. Technologie is daarbij van cruciaal belang, maar de beste response-plannen zijn opgesteld rond hoe werkzaamheden het beste kunnen worden voorbereid op een inbraak en kunnen worden volgehouden als dit zich voordoet," legt Russell uit.
4. Wijs rollen toe
Hoewel de CSO en CISO de security-agenda van veel bedrijven zal blijven bepalen, moeten andere leiders ook een actieve rol spelen. Russell: "CFO’s moeten ervoor zorgen dat een beveiligingsniveau wordt ingebouwd in alle financiële processen. HR-directeuren moeten nieuwe medewerkers zorgvuldiger doorlichten. En salesleiders moeten de hygiëne bevorderen, vooral bij reizende medewerkers die, dankzij hun virtuele toegang, de belangrijkste vector zijn voor hackers."
Conclusie
Russell vertelt ter afsluiting: "Nu er in onze samenleving steeds meer door de juridische macht wordt beslecht, kunnen bedrijven niet hopen cyberrechtszaken volledig uit te roeien. Maar ze kunnen wel een actieve rol spelen om ze af te weren. Het is een stap in de goede richting om cybersecurity tot een leiderschapskwestie te make
