De CISO verdient permanente plaats aan de bestuurstafel

Gelukkig veranderde deze houding met de toenemende professionaliteit van de CISO-functie. Uit een recent rapport blijkt dat 68% van de leidinggevenden erkent dat het belang van security is toegenomen en 77% is van mening dat de CISO hierdoor een grotere invloed op het bedrijfsproces heeft.

Het toegenomen besef is echter niet altijd positief. De rol van de CISO, en cybersecurity in het algemeen, wordt enigszins als vanzelfsprekend beschouwd en krijgt alleen aandacht wanneer het fout gaat. CISO's worden altijd door het bestuur ter verantwoording geroepen na een spraakmakend incident, maar zelden als gevolg van uitstekende best practices op het gebied van security.

De huidige coronapandemie is hier een perfect voorbeeld van. De CISO speelt nu een centrale rol in een bedrijfsstrategie die zich in een stroomversnelling bevindt. Nu organisaties zich aanpassen aan een nieuwe manier van werken op afstand, is het aan de CISO om de 'showstoppers' te identificeren, de gaten te dichten en te zorgen voor een veilige overgang naar het nieuwe werkmodel of de gevolgen onder ogen te zien.

Meer belangstelling voor de functie betekent ook niet per se dat de pikorde op C-niveau is veranderd. Van de 62% van de Fortune 500-bedrijven die over een CISO beschikken, vermeldt slechts 4% wie deze functie vervult op zijn website. Dit gebrek aan invloed komt ook intern tot uiting. Meer dan 50% van de CISO's geeft toe dat de relaties met andere afdelingen, waaronder de financiële afdeling, onder druk staan.

Er blijft een kloof bestaan tussen de erkenning van het belang van de rol en het gezag en de invloed van de CISO. Dit is, in ieder geval deels, te wijten aan het onvermogen van security-professionals om efficiënt te communiceren met andere bestuurders op C-niveau.

Om deze kloof te overbruggen moeten CISO's de taal van de C-suite leren. Ze moeten eerst denken als bestuurder en pas daarna als technoloog.

Aan de bestuurstafel plaatsnemen

Er zijn verschillende factoren die de opkomst van de CISO verstoren. Ten eerste is wat wij onder risico's verstaan nieuw in de bestuurskamer. De financiële afdeling brengt leidinggevenden al jaren op de hoogte van financiële risico's. Risico in die context is een zakelijke functie met gevestigde modellen, terminologie en meetmethoden die elk bestuurslid begrijpt.

Dit kan niet worden gezegd van cybersecurity. Slechts weinigen buiten ons vakgebied zijn bekend met de basisprincipes, laat staan met de steeds veranderende bedreigingen en de gedetailleerde kennis die nodig is om een moderne organisatie te verdedigen. Onze meetbare waarden zijn ook minder tastbaar dan andere bedrijfsfuncties. Een organisatie beschermen is geen exacte wetenschap. We zijn niet altijd in staat om geruststellende antwoorden te geven over wat goed of fout is. Daarnaast kan een situatie van de ene op de andere dag veranderen, omdat een nieuwe kwetsbaarheid kan betekenen dat wat veilig was, nu kwetsbaar is.

Omdat slechts weinig bestuursleden ervaring hebben met cybersecurity, moeten we deze antwoorden ook in lekentaal uitleggen. Dit kan het belang van het probleem en de complexiteit van de oplossingen bagatelliseren.

De sleutel om deze uitdagingen te overwinnen is focus

De C-suite wil de zekerheid dat de controlemechanismen efficiënt werken en dat het bedrijf genoeg doet om de cyberdreiging te beheersen. Daarnaast willen bestuurders weten hoe de middelen die aan security worden besteed, bijdragen aan de strategische richting van het bedrijf en de succesvolle bedrijfsvoering. Het is de taak van de CISO om erachter te komen hoe die zekerheid kan worden geboden zonder dat er ingewikkelde technische discussies ontstaan over hoeveel computers er zijn gepatcht of over de meest recente kwetsbaarheid.

Een security-cultuur ontwikkelen over de gehele linie

Cybersecurity hoort thuis in de bestuurskamer, maar moet nu wel meer aandacht krijgen dan een sessie van een kwartier per kwartaal. Het moet een vast onderdeel worden van elke zakelijke beslissing, in die zin dat de CISO naast de CEO, COO en CIO zit en nooit van tafel gaat.

We moeten de perceptie van cybersecurity veranderen, door onze rol te herpositioneren van een noodzakelijke probleemoplosser naar een bedrijfskritische adviseur. We zijn hier niet alleen om branden te blussen. We zijn een integraal onderdeel van het veilig en succesvol runnen van onze organisaties. Als security-leider is het jouw taak om dit bewustzijn te vergroten en deze cultuur te stimuleren. Naarmate het bewustzijn toeneemt, neemt ook het vertrouwen in het gezag van de CISO toe. En dat is het uiteindelijke doel.

Als het gaat om de bestuurskamer, dan is vertrouwen heel belangrijk. Het stelt je in staat om de strategie te beïnvloeden en een bijdrage te leveren aan het bredere gesprek, zonder dat je eerst je plaats aan tafel hoeft te rechtvaardigen. 

Om daar te komen is een mentaliteitsverandering nodig die alleen mogelijk is door een cultuur te creëren waarin security centraal staat. Binnen alle lagen van de organisatie zou men moeten kunnen meepraten over cybersecurity. Alle medewerkers moeten begrijpen met wat voor soort bedreigingen ze te maken hebben, hoe die bedreigingen er in de echte wereld uitzien en welke rol elk individu speelt bij het tegengaan van die bedreigingen.

We moeten voorkomen dat we al te technische gesprekken voeren en ons in plaats daarvan richten op de waarde die ons werk toevoegt aan de organisatie - samen met de waarde die het beschermt. Elke discussies moet beginnen en eindigen met risico's - het risico voor het bedrijf, zijn data, zijn intellectueel eigendom en zijn reputatie. Maar ook het risico wanneer dit niet wordt beschermd. Kijk wellicht eens in het handboek van de CFO en overweeg om 'value at risk'-curves te gebruiken om cyberdreigingen te beschrijven in plaats van alleen de slechtst denkbare scenario's te belichten.

CISO's moeten door het bestuur eerst als een zakenman worden gezien en niet als een technoloog. We moeten weten welke aspecten zorgen voor inkomsten op de lange termijn en laten zien dat we ons bewust zijn van de tactische uitdagingen waar het bedrijf mee te maken heeft. Laat deze uitdagingen terugkomen in je interacties en verwerk ze in je verhaal. Zorg er daarnaast voor dat de C-suite zich realiseert dat je je bewust bent van en afgestemd bent op de zakelijke prioriteiten en uitdagingen waar je bedrijf voor staat.

Andrew Rose, Resident CISO EMEA bij Proofpoint