Hoe krijg je als CISO buy-in van de raad van bestuur?
Als Chief Information Security Officer (CISO) is je succes afhankelijk van je vermogen om de impact en waarde van interne beveiligingsprogramma’s en -initiatieven aan te tonen aan de raad van bestuur. Vraag is hoe je dat het beste doet. Hoe maak je aan bestuurders duidelijk wat het belang is van solide security en de daarbij behorende kosten? We zetten zeven tips op een rij.
Tip 1: Ken je publiek
Zoals bij elke presentatie is het belangrijk om te weten voor wie je je verhaal houdt en welke verwachtingen je publiek heeft. Dat kan gaan om collega’s op C-niveau zoals CIO, COO en CEO, maar ook om bestuurders die meer op afstand staan. De eerstgenoemde groep is net als jij geworteld in de praktijk en redeneert vanuit dat oogpunt, terwijl de tweede groep meer naar het brede perspectief kijkt en alle stakeholders voor ogen heeft. Deze twee groepen hebben verschillende doelen en achtergronden, waar je bij je presentatie rekening mee moet houden.
Tip 2: Ken je bedrijf
Het is voor een CISO niet voldoende om alles te weten van technologie. Je moet ook je eigen organisatie door en door kennen en bijvoorbeeld weten welke processen het meest kwetsbaar zijn. Een one-size-fits-all plan presenteren heeft weinig zin. Het moet zichtbaar aansluiten bij de organisatie en duidelijk illustreren dat je weet wat er speelt in security én in de eigen organisatie en branche.
Tip 3: Vermijd AOT
Angst, Onzekerheid en Twijfel (AOT) waren vroeger een populaire tactiek om het management angst aan te jagen, zodat er geld op tafel kwam voor beveiligingsprogramma’s. Deze aanpak werkt anno 2020 niet meer. Om te beginnen hebben bestuurders veel meer dan voorheen kennis van actuele securitytrends, waardoor ze minder gevoelig zullen zijn voor bangmakerij en worst-case scenario's. Bovendien tast het de geloofwaardigheid van de CISO aan. Bestuurders willen weten wat er aan de hand is als het gaat om de veiligheid van de organisatie en wat jij daar als CISO aan doet om die verbeteren.
Tip 4: Blijf communiceren
Als je erin bent geslaagd de raad van bestuur te overtuigen van een investering in security, is het zaak om daar een goede follow-up aan te geven. Wat is er gebeurd met de investering? Hoe heeft deze bijgedragen aan een betere security? Hoeveel incidenten zijn voorkomen? Kom met cijfers, maar maak het niet te gedetailleerd. Meld de hoofdlijnen en geef vooral aan hoe de investering heeft bijgedragen aan veiliger bedrijfsprocessen en lagere risico’s.
Tip 5: Let op compliance
Elke securityprofessional weet dat compliance niet gelijkstaat aan security, en security niet aan compliance. Echter, het is een gemiste kans als je compliance weglaat uit je presentaties aan de raad van bestuur. Dat geldt met name als compliance vereist is om je producten of diensten te verkopen. Compliance kan een stevige driver zijn voor investeringen in een beveiligingsprogramma. Immers, de meeste bedrijven moeten voldoen aan tal van normen, wetten en voorschriften. Denk alleen al aan sterk gereguleerde sectoren als de gezondheidszorg of de financiële sector. Veel complianceregels in die sectoren zijn gebaseerd op best practices op het gebied van security, standaardisatie en controles. Zij zijn een goede basis voor het bouwen van een volwassen en gezonde IT-infrastructuur met best practices en controlemechanismen die veiligheidsrisico’s sterk verminderen.
Tip 6: Wees duidelijk
Duidelijke en eenvoudige communicatie is van cruciaal belang bij je presentatie aan de raad van bestuur. Bestuurders zijn vaak goed op de hoogte van security-incidenten intern of extern, maar hebben lang niet altijd een technische achtergrond. Met duidelijke communicatie voorkom je misverstanden en kun je je concentreren op het punt dat je met je presentatie wilt maken in de beperkte tijd die je in de regel krijgt. Maak ruimte om vragen te beantwoorden en stimuleer onderlinge discussie. Discussie leidt tot vragen en nieuwe inzichten die je als CISO met feiten en cijfers kunt onderbouwen.
Tip 7: In geval van nood...
Het is voor elke CISO duidelijk dat er vroeg of laat een moment komt waarop er sprake is van een succesvolle cyberaanval. Dat betekent dat je op een bepaald moment slecht nieuws hebt voor de raad van bestuur. In dat geval is het zaak dat de feiten direct op tafel komen en de risico’s helder en zonder voorbehoud gepresenteerd worden. Op die manier kan de raad zich een goed beeld vormen van de situatie en kun je als CISO precies aangeven welke stappen je neemt om de gevolgen van de aanval te minimaliseren.
Geschreven door Sander Bakker, Sales Manager Noord Europa bij LogRhythm