Zorg als CEO dat u zich ‘goed voelt’ bij uw cybersecurity

Cyberaanvallen kunnen grote schade aanrichten aan allerlei bedrijfsprocessen, maar ook een flinke deuk in het vertrouwen van organisaties slaan. Als CEO wilt u het gevoel hebben dat uw organisatie goed is voorbereid. Bijvoorbeeld bij de recente Log4j-dreiging. Zodat u toezichthouders, klanten en andere stakeholders met een gerust hart kunt laten zien dat uw organisatie zo goed mogelijk is beschermd tegen schade. 

Goed voorbereid zijn betekent hier dat de kans groot is dat de verantwoordelijken binnen uw organisatie een hack snel ontdekken en ze even snel adequaat handelen om lekken te dichten en verdere schade te voorkomen. Om daarvoor te zorgen, zijn de volgende vijf stappen belangrijk:

• Definieer een eenduidige strategie
  Beleid begint met een duidelijke stip op de horizon: de ambitie als het gaat om cybersecurity. Waar willen wij staan als organisatie ten opzichte van onze peers en aan welke normen en standaarden willen wij ons conformeren? Dit is een onderwerp dat uiteraard niet op zichzelf staat, maar moet worden gezien als onderdeel van de algehele digitale strategie van de organisatie.  
• Organiseer een governance met ‘checks & balances’ en verschillende ‘lines of defence’
  Goede governance betekent in dit verband niet het beleggen van het onderwerp bij één persoon of afdeling. Vergelijk het met de financiële aansturing: die gebeurt niet alleen door controllers die rapporteren aan de CFO. Er zijn ook ‘extra ogen’ bij betrokken, zoals risicomanagement en de interne-auditdienst die hun eigen rapportagelijnen hebben. Dergelijke ‘checks & balances’ en verschillende ‘lines of defence’ zijn ook nodig in de governance van cybersecurity. Externe assessments op de processen en systemen horen daar overigens ook bij: een frisse blik ontdekt vaak nog verdere mogelijkheden tot verbetering.
• Stimuleer een cultuur waarin mensen elkaar aanspreken
  Mensen vormen het grootste veiligheidsrisico. Zij maken fouten en vergissingen. Niemand wil op een link klikken in een verdachte mail, maar het gebeurt soms toch. Je kunt op kantoor alles beveiligen, maar als iemand een laptop in auto laat liggen die vervolgens gestolen wordt, ontstaat er meteen een veiligheidsrisico. Het is ontzettend belangrijk dat mensen hier open over zijn. Dat de cultuur zo veilig is, dat ze deze vergissingen of andere risicovolle situaties meteen melden. En dat ze er elkaar op aanspreken. 
• Integreer cybersecurity in alle processen
  Ik zie nogal eens dat er binnen organisaties in silo’s wordt gewerkt. Daardoor staat cybersecurity wel op het netvlies staat van de IT-afdeling, maar bijvoorbeeld niet bij de mensen die zich bezighouden met productontwikkeling of met de interne bedrijfsprocessen. Samenwerking tussen verschillende afdelingen zorgt ervoor dat digitale weerbaarheid wel bij iedereen op de agenda komt en draagt bij tot processen en producten die ‘secure by design’ zijn. Daarmee kunnen organisaties zich écht onderscheiden.
  
  Het doorbreken van silo’s op dit gebied voorkomt overigens ook dat IT-afdelingen met technologische veiligheidsoplossingen komen die zo gebruiksonvriendelijk zijn dat niemand ze wil of gaat gebruiken. 
• Test regelmatig uw cybersecurity
  Zorg ervoor dat de cybersecurity regelmatig wordt getest, dat er simulaties worden gedaan op uw systemen. Hackers innoveren continu. Bovendien verandert een IT-infrastructuur na bijvoorbeeld de introductie van een nieuw systeem of een overname, waarbij bestaande systemen op elkaar aangesloten worden. Denk ook aan de verbindingen met andere, nieuwe partijen zoals leveranciers. Dus simuleer ook een crisis en kijk of u in staat bent adequaat te reageren. Niet alleen vanuit de techniek: uiteindelijk is dit teamwerk en door dat goed te trainen, is uw organisatie vele malen beter voorbereid.

De vijf bovenstaande punten hebben één gemene deler: cybersecurity is niet het probleem van één afdeling, maar van de hele organisatie. En als de hele organisatie meewerkt aan de digitale veiligheid, krijgt de CEO meer context en meer grip én meer comfort om de vraag te kunnen beantwoorden: doen wij de juiste dingen en doen wij die goed genoeg? Het leidt uiteindelijk ook tot betere beslissingen over alle digitale investeringen waarbij security vanaf het allereerste begin is geïntegreerd.