Hoe zorg je ervoor dat je Cyber Security de juiste aandacht krijgt?
Download hier je pdf
Elke organisatie zou moeten investeren in cyberbeveiliging, het is de taak van de CISO om een overtuigende businesscase te presenteren. Een case die inzicht geeft in waarom een investering nodig, maar zeker ook nuttig is. Door uit te gaan van een “security first” perspectief, wordt compliance vaak automatisch gedekt. Om deze business case goed in te vullen en CISO’s een handje op weg te helpen, hebben we de volgende stappen uiteengezet:
1. Voer een volledige audit uit
Allereerst is het belangrijk om een volledige audit uit te voeren van de huidige beveiligingsmaatregelen, het beleid en eventuele hiaten (gaps) of gebieden waar verbetering noodzakelijk is. Kijk naar waar er vertrouwelijke en gevoelige gegevens zijn opgeslagen en wie hier toegang tot heeft. Niet alle gegevens hebben dezelfde impact of risiconiveau. Daarom is het verstandig dit goed te onderzoeken zodat je de beschikbare budgetten zo efficiënt mogelijk kan inzetten. Bedreigingen van binnenuit komen vaak voor en de risico’s van mogelijke datalekken die hierdoor worden veroorzaakt door kwaadwillende of zelfs onvoorzichtige medewerkers, worden daarom regelmatig onderschat. Dit proces is tijdrovend, maar noodzakelijk om een volledig beeld te krijgen van beveiligingsmaatregelen die al bestaan.
2. Verwachtingen moeten vanaf het begin worden gesteld
Cybersecurity is geen dienst of product; het is daarom verstandig om te laten zien hoe het beschermen van een organisatie tegen verliezen de enige manier is om financieel voordeel te behalen. Probeer door middel van cijfers met de board te communiceren. Bijvoorbeeld, door aan te tonen dat een investering van €1,- een incident zou stoppen dat het bedrijf mogelijk €10,- zou kosten. Door een business case te creëren die zowel de Return On Investment (ROI) én securitymaatregelen die de kans of impact kunnen verlagen belicht, krijg je het bestuur sneller aan jouw kant.
3. Kies de juiste investeringsgebieden
Om ervoor te zorgen dat de directie haar beslissing om te investeren in beveiliging kan verdedigen, moet je eerst gegevens verstrekken die gericht zijn op alle dreigingen die zijn vastgesteld in stap 1. Dreigingen zoals ontoereikende security, bewustzijn en training van werknemers, processen en beleid die niet adequaat worden toegepast en vastgelegd of een gebrek aan back-up en patch. Door een helder inzicht te verschaffen in de kosten en baten van investeringen, kan de effectiviteit van de benodigde investeringen makkelijker worden verdedigd.
4. Presenteer een sterke businesscase aan de directie
Nadat je een robuuste en overtuigende businesscase voor de organisatie hebt gemaakt, moet je het voorstel delen met het bestuur. Wanneer je dit presenteert, houd dan rekening met eventuele vragen die gesteld kunnen worden, niveau van kennis betreft cybersecurity en waar de focus met name ligt. Zorg ervoor dat je een stevig verhaal hebt bij alle investeringen zodat de directie een goed overwogen besluit kan nemen.
5. Cyberveiligheid, ook op de lange termijn
Bij het indienen van een sterke businesscase voor security buy-in is het belangrijk om het plan af te stemmen op de risico’s, behoeften en compliance-eisen van de organisatie. Elke organisatie wil op de lange termijn veilig zijn, maar door compliance-eisen blijven ze vaak gefocust op de korte termijn. In ons opzicht is dat een grote valkuil. Organisaties moeten namelijk verbinding creëren tussen compliance en beveiliging als ze hun systemen en gegevens willen beschermen, zeker op de lange termijn.
Wil je meer weten over hoe je dit kunt aanpakken? Onze experts staan klaar om uw vragen te beantwoorden.
