Waargebeurd: Een CISO van een bedrijf sluit een productiefabriek op eigen verzoek. De Raad van Bestuur wil hem ontslaan, totdat ze zijn verhaal horen. Het bedrijf produceerde op twee chemicaliën na puur vergif en cybercriminelen hadden het recept weten te bemachtigen... Vandaag de dag gebeuren dit soort zaken steeds vaker en worden de risico's steeds groter. Daarnaast wordt de uitdaging van het voorkomen van cyberaanvallen steeds complexer, doordat ontwikkelingen als het Internet of Things de mogelijkheid tot aanvallen steeds groter maken.

Hoe ga je om met risico's tijdens dit soort situaties? Hoe bepaal je wie er verantwoordelijk is voor het beoordelen van risico's? Wie is er verantwoordelijk in het geval van een inbreuk of andere negatieve gevolgen van cyberaanvallen? Hoe zorgen we ervoor dat mensen, processen en technologieën de beveiliging leveren die nodig is om risico's te minimaliseren en compliant te blijven met het beleid dat is opgelegd door de overheid?

Bovenstaande issues zijn besproken tijdens een exclusief cybersecuritypanel dat ik bijwoonde in Londen. Hieronder kun je enkele interessante punten teruglezen die de revue passeerden tijdens de discussie:

1. Wees duidelijk

Er bestaat veel jargon in het vakgebied, dus daarom is heldere communicatie in cybersecurity cruciaal. De CISO moet de taal van het bestuur spreken en moet bijvoorbeeld de cyberrisico's van het intranet kunnen uitleggen aan een HR-executive. Daarnaast hebben CISO's steeds meer geld nodig voor cybersecurity, dus ze moeten in staat zijn om over risico te praten in duidelijke taal, om de CFO voor zich te kunnen winnen.

2. Werk samen en blijf alert

Ten eerste is het belangrijk om te begrijpen wat de belangrijkste businessprocessen zijn en voor hoeveel omzet deze zorgen. Pas dan kun je de risico's goed inschatten en bepalen welke investeringen je moet doen op het gebied van cybersecurity. Eén van de belangrijkste taken hierbij is om de verschillende opties met verschillende kosten te beoordelen in plaats van een 'one size fits all'-benadering. Wanneer je dit hebt gedaan, moet je de cybersecurity-risico's regelmatig beoordelen (afgestemd op de risiconiveaus). Dit kan bijvoorbeeld een maandelijkse evaluatie zijn met daarnaast een jaarlijkse externe audit.

3. Integreer je cybersecurity-inspanningen

Zorg dat cybersecurity ingebouwd zit in de kern van je businessprocessen, ook tijdens het ontwikkelen en continue verbeteren hiervan. Wanneer cybersecurity niet in het DNA van je productontwikkeling zit, hoe kun je dan de innovatie bijhouden? Veel bedrijven gebruiken DevOps-teams om hun producties op de markt te brengen, maar zij zouden eigenlijk ook DevSecOps-teams moeten creëren. Dit betekent dat DevOps-teams verantwoordelijk zijn voor beveiliging in nieuwe diensten.

4. Zie GDPR als een kans

Leiders moeten de GDPR als een kans zien om te reflecteren en te beoordelen waar ze zijn in de opbouw van hun cybersecurity; zijn de fundamentele onderdelen er, worden alle activiteiten gedocumenteerd en kunnen de stappen van cybercriminelen getraceerd worden wanneer ze het netwerk binnen dringen. Verder kun je nu een cultuur van gedeelde verantwoordelijkheid en aansprakelijkheidcreëren voor het geval er iets gebeurt, door duidelijk te maken dat mensen eerlijk moeten zijn bij een inbreuk.