CISO garant voor meer proactieve security
Bedrijven met een chief information security officer hebben vaak een meer gecoördineerd, preventief en meetbaar securitybeleid, aldus een IBM-studie.
Bedrijven met een chief information security officer hebben vaak een meer gecoördineerd, preventief en meetbaar securitybeleid, aldus een IBM-studie.
Hoewel ceo’s en cio’s in toenemende mate aandacht en budget veil hebben voor beveiligingsaspecten, blijkt het aanstellen van een specifieke verantwoordelijke op hoog niveau (en met voldoende authoriteit) te leiden tot een evenwichtiger securitybeleid. Vandaag verwacht twee derde van de respondenten in IBM’s studie (‘Finding a strategic voice, Insights from the 2012 IBM Chief Information Security Officer Assessment’) een stijgend securitybudget in de komende twee jaar, dat nog overwegend door de cio wordt beheerd.
In bedrijven waar evenwel de ceo, cio en de ciso de verantwoordelijkheid voor security delen, blijkt vaak meer een risicobewuste cultuur te leven, met aandacht voor meetbare vooruitgang. De ciso kan daarbij de rol van een ‘beïnvloeder’ spelen, met een specifiek securitybudget (71 procent van de bedrijven met een ciso), en een coherent en preventief beleid tot gevolg. Dat in tegenstelling tot bedrijven waar het securitybudget ondermaats is, met een reactieve en gefragmenteerde ad hoc aanpak.
Belangrijk is dat de ciso ook op het niveau van de raad van commissarissen wordt gehoord en invloed heeft. Immers, “de best presterende organisaties [inzake security] in ons onderzoek laten zien dat een strategische aanpak van security in de boardroom van cruciale waarde is,” aldus Jens Wymeersch, leader van IBM security systes Benelux.
Voor het creëren van een securitygerichte bedrijfscultuur doen ze ook vaker een beroep op meetresultaten om de vooruitgang op securitygebied te toetsen, gekoppeld aan een opvolging van opleidings- en bewustwordingsprogramma’s. Zij bestuderen tevens proactief de mogelijke nieuwe risico’s die het gebruik van bestaande en opkomende technologieën meebrengt. Met een dergelijke ciso in huis, zou een bedrijf allicht minder worden verrast en overweldigd door problemen die evoluties als ‘bring your own device’ (byod, het gebruik van persoonlijk materiaal voor bedrijfsdoeleinden, nvdr) meebrengen. Dergelijke ‘beïnvloeders’ benadrukken tot vier keer meer de noodzaak tot meer securitybesef, tegen reactieve personen, die tot twee keer meer hun heil in technologie zoeken. Ook wenden beïnvloeders hun kennis uit analyses van metingen aan om gebieden te vinden waar verbeteringen de meeste impact en waarde bieden.
Fout opgemerkt of meer nieuws? Meld het hier