Waarom en hoe cyberbeveiliging afstemmen op bedrijfsstrategie? 9 acties
Cyberveiligheidsteams en leidinggevenden binnen bedrijven hebben vaak tegengestelde prioriteiten en doelstellingen. Deze kloof maakt organisaties zeer kwetsbaar voor cybercriminelen, waarschuwt het World Economic Forum. Welke 9 acties herstellen de relatie én verbeteren de cyberveiligheid fors?
Het World Economic Forum ziet in zijn artikel How aligning cybersecurity with strategic objectives can protect your business drie grote cybersecurity -uitdagingen voor bedrijven in 2023:
- Bedrijven moeten zich voorbereiden op nieuwe risico’s en snelveranderende cyberdreiging.
- Cyberveiligheidsrisico’s worden vaak over het hoofd gezien door een slechte communicatie tussen IT-professionals en het CEx-niveau.
- Zolang de cyberbeveiliging geen deel uitmaakt van de organisatiecultuur is ze niet effectief.
IT en bedrijfsmanagers stellen andere prioriteiten
De prioriteiten van bestuursleden en het CEx-niveau liggen bij de bedrijfsdoelen. Ze willen de business winstgevender maken, de concurrentie een stap voor blijven, het volgende innovatieve idee vinden, het werknemersengagement bevorderen en dividenden creëren. Ze zien de dingen daarom hoofdzakelijk door de bril van de business.
Daarentegen focussen cyberveiligheidsprofessionals eerder op technische doelstellingen. Ook staan ze zelden stil bij hoe zij hun doelstellingen kunnen afstemmen op de overkoepelende strategische doelstellingen. Bijgevolg zijn IT-professionals vaak niet in staat de netto-impact van potentiële beveiligingsrisico’s op de business aan te tonen. Beveiligingsbehoeften verschijnen daardoor pas op de radar van managers en bestuursleden als er zich een belangrijke situatie heeft voorgedaan.
Bij heel wat bedrijven leiden de andere doelstellingen en het gebrek aan communicatie hierover tot een diepe kloof tussen het bedrijfsmanagement en het cyberbeveiligingsteam.
Nieuwe risico’s en snelveranderende cyberdreiging
De cyberdreiging verandert snel, waardoor het voor organisaties moeilijker wordt de risico’s telkens weer een stap voor te blijven. Veel bedrijven denken dat ze deze uitdaging wel aankunnen door er meer geld aan te besteden en meerdere beveiligingsoplossingen te implementeren in een poging zo aanvallen te voorkomen.
Maar dat cybercriminelen slagen in hun opzet ligt meestal niet aan hun gesofisticeerde methodes om de beveiliging te omzeilen. Wel vinden we de oorzaak in fundamentele beveiligingsproblemen bij bedrijven die niet worden aangepakt.
Denk bijvoorbeeld aan eindgebruikers die er niet in slagen phishing-emails te herkennen. Of denk aan een gebrek aan beveiliging in de toeleveringsketen en procedurefouten waarbij werknemers niet de gepaste waarschuwingen monitoren of gebeurtenissen niet met elkaar in verband brengen om van daaruit de gepaste actie te ondernemen.
Oplossingen verhogen cyberveiligheid
Deze cybersecurity -problemen kunnen getackeld worden. Uit het artikel van het Word Economic Forum destilleren we 9 acties. Ga ermee aan de slag in je bedrijf.
Actie 1. Stel beschadigde relatie vast
Zoals bij elke relatie is het belangrijk dat beide partijen overeenkomen dat de huidige methode niet houdbaar is alvorens te proberen het communicatieproces te herstellen. Iedereen moet een actieve inspanning leveren om zijn aanpak te veranderen en het perspectief van de andere partij te begrijpen.
👉 Neem specialisten onder de arm om je cybersecurity -kwetsbaarheid in kaart te brengen. VLAIO steunt je hiervoor via de kmo-portefeuille en de cybersecurityverbetertrajecten. Klik door naar vlaio.be/cybersecurity
Actie 2. Bekijk cyberveiligheid als business- en gedragsprobleem
Uit de probleemschets wordt duidelijk dat de kern van de cyberbeveiligingskwestie geen technisch probleem is. Wel is het een business- en gedragsprobleem.
Organisaties moeten hun beveiliging op een andere manier benaderen, waarbij duidelijk is dat de doelstellingen van IT-teams en managers onlosmakelijk met elkaar verbonden zijn. Het topkader moet de beveiligingsdoelstellingen bepalen en de strategieën om eraan te voldoen.
Actie 3. Neem beveiligingsdoelstellingen op
Specifieke beveiligingsdoelstellingen moeten worden opgenomen in de prestatiedoelstellingen van het personeel en de prestatiemetingen van leveranciers om hen tot gedragswijzigingen aan te zetten.
Actie 4. Overbrug de communicatiekloof met IT
Om de communicatiekloof tussen IT en leidinggevenden te overbruggen, is een actieve dialoog nodig waarbij beide partijen doorlopend met elkaar in interactie gaan. Concreet moeten de IT-teams bestuursleden goed informeren over de potentiële gevolgen van beveiligingsinbreuken op de business en hen doen inzien dat beveiligings- en zakelijke doelstellingen strategisch op elkaar kunnen worden afgestemd.
Actie 5. Aligneer beveiligingsdoelstellingen met bedrijfsdoelstellingen
Om daarin te slagen, moet het cyberbeveiligingspersoneel ook de tijd nemen om de bedrijfsstrategie en -doelstellingen te begrijpen en een beveiligingsstrategie te ontwikkelen die deze ondersteunt. Een duidelijk verband tussen de beveiligings- en bedrijfsdoelstellingen kan er in belangrijke mate toe bijdragen dat bestuur en CEx-niveau zich er een beter begrip van vormen en ook bereid zijn om initiatieven goed te keuren die de bedrijfsbeveiliging verbeteren.
Actie 6. Bespreek prioriteiten met IT
Bestuursleden en het CEx-niveau maken best ook hun eigen veiligheidsbekommernissen en -prioriteiten kenbaar aan de cyberbeveiligingsteams. Het is belangrijk dat ze begrijpen dat IT-professionals een technische kijk op de zaken hebben en dat ze hen strategische begeleiding en ondersteuning moeten bieden in combinatie met een duidelijk zicht op businessdoelstellingen.
En, misschien nog het belangrijkste: de directie moet inzien dat een slechte beveiliging een bedrijfsprobleem is. Daarop moet het hun prioriteiten overeenkomstig bijstellen.
Actie 7. Stel halfjaarlijks informatiebeveiligingsrapport op
Cyberveiligheidsteams bezorgen best halfjaarlijks een informatiebeveiligingsrapport aan de leidinggevenden van het bedrijf, waaruit blijkt hoe de overeengekomen beveiligingsdoelstellingen zijn uitgevoerd en hoe die de bedrijfsstrategie ondersteunen. Hierdoor kunnen zowel de raad van bestuur als de managers zien waar het beveiligingsbudget naartoe gaat en wat het rendement daarvan is voor het bedrijf.
Actie 8. Verhoog veiligheidsbewustzijn bij personeel
Het effect van deze daden op IT- en bedrijfsmanagementniveau verhoog je fors als je ook bij het personeel een verandering opstart.
Door doeltreffende beveiligingsprogramma’s te implementeren en het veiligheidsbewustzijn bij personeel en partners aan te wakkeren, kunnen bedrijven hun activa en gegevens beter beschermen en eventuele gevolgen van inbreuken voorkomen waardoor ze hun bedrijfsdoelstellingen kunnen halen.
Actie 9. Installeer een cyberveiligheidscultuur
Wil cyberbeveiliging echt effectief zijn, dan moet ze verweven raken met de organisatiecultuur. Communicatie is de eerste stap om de kloof te overbruggen. Dat omvat transparantie en het normaliseren van discussies over uitdagingen, fouten en misvattingen.
Met een beetje geven en nemen van beide kanten zal het niet lang duren voordat eerdere tegenstanders de beste teamgenoten worden die werken aan op elkaar afgestemde business- en beveiligingsdoelstellingen.
Dit artikel is een herwerking van het artikel oe het afstemmen van cyberbeveiliging op strategische doelstellingen uw bedrijf kan vrijwaren op cybersecurity -bites.be