BLOG – Cybersecurity is niet langer een puur technische aangelegenheid, maar een strategische pijler voor bedrijfscontinuïteit en groei. De chief information security officer (ciso) speelt hierin een cruciale rol. Maar om impact te maken, is een nauwe samenwerking met het bestuur noodzakelijk. Hoewel de ciso steeds vaker onderdeel uitmaakt van de C-suite en rechtstreeks met de ceo samenwerkt, laat onderzoek zien dat er nog aanzienlijke uitdagingen zijn in de afstemming tussen securityteams en de bestuurskamer.
Een obstakel in de samenwerking tussen ciso’s en bestuurders is het verschil in achtergrond en focus. Waar de ciso denkt in termen van risicobeheersing en technische maatregelen, kijkt het bestuur naar bedrijfsdoelen en groei. Dit leidt regelmatig tot meningsverschillen. Ciso’s meten bijvoorbeeld hun succes aan de impact van beveiligingsincidenten, terwijl bestuurders hen eerder beoordelen op de return on investment van security-investeringen. Dit verschil in perceptie kan resulteren in een gebrek aan steun voor cruciale beveiligingsinitiatieven.
Kloof
Om de kloof tussen ciso’s en het bestuur te dichten, moet beide partijen leren om security te positioneren als een strategische waarde in plaats van een kostenpost. Het vertalen van technische risico’s naar zakelijke gevolgen is essentieel — ciso’s moeten uitleggen hoe cybersecurity-bedreigingen invloed hebben op inkomsten, reputatie en operationele continuïteit, in plaats van alleen de complexiteit van de bedreigingen te benadrukken. Dit helpt bestuursleden om cybersecurity niet te zien als een losstaand it-onderwerp, maar als een kernonderdeel van de bedrijfsstrategie.
Daarnaast is relatieopbouw binnen de bestuurskamer cruciaal. Regelmatige, open en proactieve communicatie creëert meer wederzijds begrip en vertrouwen. Ciso’s zouden met bestuursleden in gesprek moeten gaan buiten incidentrapportages om, door updates te geven over de bredere beveiligingsstrategie en te laten zien hoe deze aansluit bij de bedrijfsdoelstellingen.
Het gebruik van meetbare kpi’s die aansluiten bij bedrijfsdoelen is daarbij ook een stap. In plaats van te rapporteren over het aantal afgeweerde cyberaanvallen, kunnen ciso’s laten zien hoe security bijdraagt aan klanttevredenheid, operationele efficiëntie en naleving van wet- en regelgeving. Bovendien moeten ciso’s proberen cyberinitiatieven aan inkomsten te koppelen waar mogelijk. Bijvoorbeeld: het behalen van een nieuwe compliance-certificering kan nieuwe markten openen, wat leidt tot X waarde in nieuwe contracten. Door beveiligingsdoelen te koppelen aan bredere prestatie-indicatoren, wordt cybersecurity een factor in strategische besluitvorming.
Reallife
Ook storytelling speelt een rol. In plaats van uitsluitend statistieken en rapportages te presenteren, kunnen ciso’s gebruikmaken van reallife-scenario’s en concrete voorbeelden om het belang van cybersecurity tastbaarder te maken. Een overtuigend verhaal helpt bestuurders in te zien wat er op het spel staat en waarom bepaalde investeringen noodzakelijk zijn. Ciso’s zouden bijeenkomsten met de raad niet moeten zien als presentaties, maar als gesprekken over cybersecurity. Dit creëert een dialoog in plaats van een transactioneel gesprek.
Continue educatie is een andere factor, hoewel dit niet zo tijdrovend hoeft te zijn als een workshop. In plaats daarvan zouden ciso’s kunnen overwegen om ‘ronde cybersecurityonderwerpen’ in te voeren tijdens bestuursvergaderingen – zoals een diepgaande analyse van het soc, kwetsbaarheidsbeheer of identiteitsrisico – om de sessies hapklaar te houden. Dit kan helpen de kennis van cybersecurity bij de raad te verdiepen, zodat ze beter geïnformeerde beslissingen kunnen nemen en een cultuur kunnen bevorderen waarin cybersecurity niet wordt gezien als een obstakel, maar als een fundamenteel element voor duurzame groei en innovatie.
Daarnaast zorgt een sterke samenwerking ervoor dat bestuurders een dieper inzicht krijgen in de risico’s en uitdagingen op het gebied van cybersecurity. Wanneer zij beter op de hoogte zijn van de dreigingen en de mogelijke impact op de organisatie, kunnen zij beter onderbouwde beslissingen nemen en tijdig investeren in de juiste maatregelen. Dit voorkomt niet alleen incidenten, maar versterkt ook de algehele weerbaarheid van de organisatie.
Geen luxe
Een sterke relatie tussen de ciso en het bestuur is geen luxe, maar noodzaak. Dit vraagt om een proactieve houding van ciso’s om niet alleen als beveiligingsexpert, maar ook als strategisch bedrijfsadviseur op te treden. Door cybersecurity rechtstreeks te koppelen aan zakelijk succes, kunnen organisaties zich beter beschermen tegen zowel huidige als toekomstige bedreigingen.
Michael Fanning is chief information security officer bij Splunk
