Hoe krijg je als CISO buy-in van de raad van bestuur?

Sander Bakker

Als Chief Information Security Officer (CISO) is je succes afhankelijk van je vermogen om de impact en waarde van interne beveiligingsprogramma’s en -initiatieven aan te tonen aan de raad van bestuur. Vraag is hoe je dat het beste doet. Hoe maak je aan bestuurders duidelijk wat het belang is van solide security en de daarbij behorende kosten? We zetten zeven tips op een rij.

Tip 1: Ken je publiek

Zoals bij elke presentatie is het belangrijk om te weten voor wie je je verhaal houdt en welke verwachtingen je publiek heeft. Dat kan gaan om collega’s op C-niveau zoals CIO, COO en CEO, maar ook om bestuurders die meer op afstand staan. De eerstgenoemde groep is net als jij geworteld in de praktijk en redeneert vanuit dat oogpunt, terwijl de tweede groep meer naar het brede perspectief kijkt en alle stakeholders voor ogen heeft. Deze twee groepen hebben verschillende doelen en achtergronden, waar je bij je presentatie rekening mee moet houden.

Tip 2: Ken je bedrijf

Het is voor een CISO niet voldoende om alles te weten van technologie. Je moet ook je eigen organisatie door en door kennen en bijvoorbeeld weten welke processen het meest kwetsbaar zijn. Een one-size-fits-all plan presenteren heeft weinig zin. Het moet zichtbaar aansluiten bij de organisatie en duidelijk illustreren dat je weet wat er speelt in security én in de eigen organisatie en branche.

Tip 3: Vermijd AOT

Angst, Onzekerheid en Twijfel (AOT) waren vroeger een populaire tactiek om het management angst aan te jagen, zodat er geld op tafel kwam voor beveiligingsprogramma’s. Deze aanpak werkt anno 2020 niet meer. Om te beginnen hebben bestuurders veel meer dan voorheen kennis van actuele securitytrends, waardoor ze minder gevoelig zullen zijn voor bangmakerij en worst-case scenario's. Bovendien tast het de geloofwaardigheid van de CISO aan. Bestuurders willen weten wat er aan de hand is als het gaat om de veiligheid van de organisatie en wat jij daar als CISO aan doet om die verbeteren.

Tip 4: Blijf communiceren

Als je erin bent geslaagd de raad van bestuur te overtuigen van een investering in security, is het zaak om daar een goede follow-up aan te geven. Wat is er gebeurd met de investering? Hoe heeft deze bijgedragen aan een betere security? Hoeveel incidenten zijn voorkomen? Kom met cijfers, maar maak het niet te gedetailleerd. Meld de hoofdlijnen en geef vooral aan hoe de investering heeft bijgedragen aan veiliger bedrijfsprocessen en lagere risico’s.

Tip 5: Let op compliance

Elke securityprofessional weet dat compliance niet gelijkstaat aan security, en security niet aan compliance. Echter, het is een gemiste kans als je compliance weglaat uit je presentaties aan de raad van bestuur. Dat geldt met name als compliance vereist is om je producten of diensten te verkopen. Compliance kan een stevige driver zijn voor investeringen in een beveiligingsprogramma. Immers, de meeste bedrijven moeten voldoen aan tal van normen, wetten en voorschriften. Denk alleen al aan sterk gereguleerde sectoren als de gezondheidszorg of de financiële sector. Veel complianceregels in die sectoren zijn gebaseerd op best practices op het gebied van security, standaardisatie en controles. Zij zijn een goede basis voor het bouwen van een volwassen en gezonde IT-infrastructuur met best practices en controlemechanismen die veiligheidsrisico’s sterk verminderen.

Tip 6: Wees duidelijk

Duidelijke en eenvoudige communicatie is van cruciaal belang bij je presentatie aan de raad van bestuur. Bestuurders zijn vaak goed op de hoogte van security-incidenten intern of extern, maar hebben lang niet altijd een technische achtergrond. Met duidelijke communicatie voorkom je misverstanden en kun je je concentreren op het punt dat je met je presentatie wilt maken in de beperkte tijd die je in de regel krijgt. Maak ruimte om vragen te beantwoorden en stimuleer onderlinge discussie. Discussie leidt tot vragen en nieuwe inzichten die je als CISO met feiten en cijfers kunt onderbouwen.

Tip 7: In geval van nood...

Het is voor elke CISO duidelijk dat er vroeg of laat een moment komt waarop er sprake is van een succesvolle cyberaanval. Dat betekent dat je op een bepaald moment slecht nieuws hebt voor de raad van bestuur. In dat geval is het zaak dat de feiten direct op tafel komen en de risico’s helder en zonder voorbehoud gepresenteerd worden. Op die manier kan de raad zich een goed beeld vormen van de situatie en kun je als CISO precies aangeven welke stappen je neemt om de gevolgen van de aanval te minimaliseren.

 

Geschreven door Sander Bakker, Sales Manager Noord Europa bij LogRhythm 

Meer over
Lees ook
ESET is Customers' Choice voor middelgrote ondernemingen volgens 2024 Gartner Peer Insights

ESET is Customers' Choice voor middelgrote ondernemingen volgens 2024 Gartner Peer Insights

ESET, een wereldwijd leider op het gebied van cybersecurityoplossingen, is uitgeroepen tot Customers' Choice voor middelgrote ondernemingen in het 2024 Gartner® Peer Insights™ 'Voice of the Customer' rapport voor Endpoint Protection Platforms.

CrowdStrike en Cloudflare breiden samenwerking uit voor netwerkbeveiliging en een AI-native SOC

CrowdStrike en Cloudflare breiden samenwerking uit voor netwerkbeveiliging en een AI-native SOC

CrowdStrike en Cloudflare hebben een uitbreiding van hun strategisch partnerschap aangekondigd. Beide bedrijven verbinden hun platforms om de beveiliging van apparaten en netwerken te verbeteren, de transformatie van het Security Operations Center (SOC) te versnellen en inbraakpogingen te stoppen.

Arctic Wolf verbetert security van hybride medewerkers door integratie met Security Service Edge (SSE) oplossingen

Arctic Wolf verbetert security van hybride medewerkers door integratie met Security Service Edge (SSE) oplossingen

Het Arctic Wolf Platform kan nu geïntegreerd worden nu met Security Service Edge (SSE) oplossingen van Cato Networks, Netskope en Zscaler. Dankzij deze integraties kunnen Arctic Wolf Managed Detection and Response klanten hun SSE-investeringen effectiever inzetten