En zelfs als organisaties hun security meten worden de resultaten slechts globaal - of helemaal niet - gelezen.

"Veel bedrijven kijken bij hun inspanningen op het gebied van security niet naar de effectiviteit in hoe het de business van dienst is", zegt Joseph Carson, securitywetenschapper bij Thycotic, dat zijn Security Measurement Index (MSI) baseert op standaarden zoals gespecificeerd in ISO 27001 en best practises van experts en instanties. "Veel bedrijven evalueren hun risico niet ten opzichte van de impact. Ze kijken niet vanuit het perspectief van de business en hoe het de business raakt. Ze doen hun inspanningen om compliant te zijn en veel van hun meetinstrumenten zijn daarop gericht."

"Er is een gemis aan samenwerking tussen IT-security en de business", voegt Steve Durbin van non-profitinstelling Information Security Forum. "Wat is de gemeenschappelijke taal die we zouden moeten spreken? Hoe kunnen we, vanuit het standpunt van security, gefocused zijn op de juiste zaken in het perspectief van de business?"

Als je niet de effectiviteit kan meten

Thycotic, een leverancier van privileged account management (PAM), onderzocht meer dan 400 business en security-managers over de hele wereld voor het creƫren van de SMI-benchmark. Daaruit bleek dat 58 procent van de deelnemers een onvoldoende scoorde als ze de investeringen en prestaties van hun organisatie afzette tegen de best practises

Het onderzoek gaf tevens aan dat hoewel bedrijven wereldwijd meer dan 100 miljard dollar per jaar uitgeven aan verdedigingsmaatregelen, 32 procent securitytechnologie blind aanschaft als zakelijke beslisser zonder overleg met IT-security. Daar tegenover staat dat 80 procent van de deelnemers de zakelijke gebruiker niet meeneemt in aankoopbeslissingen in security. Daarnaast is er geen stuurorgaan die de investeringen in security evalueert op het effect op de business en de risico's.

Dat komt overeen met hetgeen de ISF ziet, zegt Durbin. De organisatie merkt dat veel CISO's rapporteren op de verkeerde KPI's en KRI's (key risk indicators). Durbin wijt dit aan het feit dat veel CISO's weinig tot geen interactie hebben met de mensen waaraan ze rapporteren. Daardoor wordt er gegist naar wat de business nodig heeft en slaan daarbij de plank mis als het gaat om de effectiviteit van informatiebeveiliging, de organisatorische risico's en de te maken afspraken over informatiebeveiliging.

"Als ik niet weet wat jij doet, hoe kan ik je dan helpen? Ik maak dan wat aannames over wat jij doet en daarin kan ik er volkomen naast zitten", zegt Durbin. "Security-mensen hebben het altijd over de kosten. Als we dit nu eens anders aanpakken kunnen security-mensen naar de business gaan en vragen wat nu voor hen van belang is en wat de rol van security kan zijn in het beschermen daarvan, maar dat daarvoor geen budget is, De business kan dan zelf beslissen in het vinden van een budget voor dat probleem. Dan is het niet langer een probleem van de security-mensen, maar van de business."

Hoewel CISO's het meeste werk moeten doen in cybersecurity hebben CIO's eveneens een belangrijke rol, te beginnen met het aanleveren van de data die security nodig heeft.

"De belangrijkste verantwoordelijkheid van de CIO is zorgen dat de organisatie de informatie krijgt die het nodig heeft in het maken van de juiste beslissingen", zegt Carson. "Ze moeten de essentiƫle assets van de organisatie identificeren en classificeren. En dan samenwerken met de CISO om die te beschermen."

Op de volgende pagina: In vier stappen naar KPI's en KRI's