Hoe brengt u security op de raad van bestuur?
Een focus op security vraagt ook steun van de top van het bedrijf. Maar hoe legt u daar de noden en oplossingen uit? Maak het niet te technisch, maar draai zeker niet rond de pot.
In een wereld waar elk toestel geconnecteerd is, wordt security er niet eenvoudiger op. Die boodschap overbrengen, en de investeringen die ermee gepaard gaan, zijn dat evenmin. “We horen van verschillende CIO’s dat ze hun verhaal wel mogen brengen op de raad van bestuur, maar dat ze de mensen daar na tien minuten kwijt zijn,” zegt Danielle Jacobs van Beltug. “Tegelijk kregen we van Guberna, het instituut voor bestuurders, vragen over cybersecurity. Een bestuursraad begrijpt dat het een belangrijk onderwerp is, maar vaak spreekt de CIO of CISO een andere taal.” Voor Beltug is dat een gelegenheid om de brug te slaan en te kijken hoe dit onderwerp bevattelijk kan worden uitgelegd, zonder de ernst uit het oog te verliezen.
‘Het is een goede zaak dat sommige incidenten in de media zijn gekomen’
“Je moet in termen van risico’s praten,” zegt Jacobs. “En dan is het aan de raad om te beslissen hoeveel risico ze willen nemen, maar ook welke rapportering ze verwachten: jaarlijks, per kwartaal, waar wordt in geïnvesteerd enzovoort. Maar dat wil niet zeggen dat je moet uitleggen hoeveel geld er naar een firewall gaat, of wat de voordelen van identity management zijn. Wel naar wat je doet om risico X of Y aan te pakken.”
Caroline Van Rompuy, chief digital information officer bij de Agfa Group, een Belgische multinational met een 8.000-tal medewerkers en een IT-afdeling van driehonderd mensen, bevestigt dat: “De kunst is op een korte tijd een goede presentatie te geven die to the point is en overtuigt van de situatie. Je wijst daarbij op de grootste risicodomeinen en op de maturiteit van je organisatie op vlak van beveiliging. Je identificeert de risico’s, wat je doet om te beveiligen, maar ook wat je doet bij een incident en hoe we daarvan kunnen herstellen.”
“Ik praat op zo’n presentatie niet over technische tools. Een raad van bestuur kent dat niet en hoeft dat niet te kennen. Het is wel belangrijk dat je risico’s en oplossingen aan elkaar linkt en hun taal spreekt: als dit gebeurt, dan kan dat gebeuren met de omzet of het imago van het bedrijf en kost het ons zoveel,” zegt Van Rompuy.
De nood aan security is van alle tijden. Maar de aandacht is de laatste tijd wel vergroot, mede dankzij ransomware-aanvallen die breder in de media komen, maar ook door de thuiswerkpiek van de afgelopen maanden. “In de top tien prioriteiten van onze leden gaan er zes over security,” zegt Jacobs (Beltug). “Er zijn organisaties die begin dit jaar drie telewerkers hadden en op twee weken tijd heel hun bedrijf naar huis moesten sturen. Maar ook bijvoorbeeld een stadsbestuur dat niet zomaar een RFP kan uitsturen voor nieuwe tools is dan kwetsbaar. Zelf merken we dat door de coronacrisis veel IT-projecten zijn uitgesteld of gepauzeerd, maar niet rond security. Bij sommige bedrijven zijn de investeringen zelfs toegenomen. Bedrijven beseffen wel dat het enorm belangrijk is.”
“Het is een goede zaak dat sommige incidenten in de media zijn gekomen”, zegt Van Rompuy. Je bestuursleden of leden van het uitvoerend comité lezen dat en dan komt de vraag ‘kan dat ook bij ons gebeuren’. Dat is een positieve evolutie. We investeren ook zelf veel rond awareness en gaan nadien zelf onze mensen phishen om te kijken of er verbetering is. Maar we merken ook dat mensen vandaag sowieso veel alerter zijn voor oplichting, al blijft de mens vaak de zwakste schakel. We zijn met achtduizend mensen, dat zijn achtduizend pc’s en dagelijks duizenden menselijke interacties, dus sensibilisering blijft zeer belangrijk.”
Bij Agfa lopen de IT-projecten gewoon door. Maar enkele securitygerelateerde zaken zijn wel versneld. “We hadden nog oudere VPN’s in gebruik en die hebben we versneld afgebouwd om over te stappen naar een nieuwe, ook rond network access control hebben we zaken versneld.”
Securityraad beslist
Van Rompuy komt als CDIO ongeveer één keer per jaar op de raad van bestuur het onderwerp toelichten. Maar de budgetten worden besproken op de security council, een halfjaarlijkse bijeenkomst voorgezeten door de CFO, die ook lid is van het auditcomité. “Daar is elke business unit vertegenwoordigd, in elke unit zitten ook securitymensen, maar wij vanuit IT en onze CISO bespreken daar de praktische zaken: welke incidenten zijn er geweest, welke tools zetten we in en hoeveel moeten we investeren.”
Maar hoe vertaal je die stappen weer naar een raad van bestuur? “Het gaat om fiduciaire verantwoordelijkheid. Zij moeten de risico’s begrijpen, en ook de juiste vragen stellen om te weten of wij ons werk goed doen. De nummer één vraag is natuurlijk ‘hoe veilig zijn we?’, en daarvoor gebruiken we maturity assessments. Daarbij kan je van nul naar extreme veiligheid gaan, en kijken hoe je bedrijf zich op deze as positioneert.”
Van Rompuy: “Maar het kan ook heel praktisch of zakelijk gericht zijn. Een van onze bestuursleden vroeg me wat er gebeurt wanneer een laptop met patiëntgegevens verloren gaat. Hoe pakken we dat aan en zijn we daarop voorzien? Maar ook of we onze eigen inspanningen rond beveiliging van onze producten op zich kunnen vermarkten. Het gaat zowel om het duiden van de risico’s en de stappen, als meer praktische of zakelijke vragen. De kunst is om hen inzage te geven zodat ze voeling krijgen waar we staan als bedrijf en wat we doen om zaken onder controle te krijgen.”
Om CIO’s en CISO’s op weg te helpen heeft Beltug een voorbeeld gemaakt voor wie het beveiligingsvraagstuk moet duiden op de raad van bestuur, maar dreigt te verzinken in vakjargon. “Het gaat bijvoorbeeld niet om simpelweg drie procent meer budget te vragen, maar wel om welke risico’s je daarmee wil beheersen,” zegt Danielle Jacobs van Beltug. Die template is normaliter voorbehouden voor de leden, maar ze is op aanvraag beschikbaar door te mailen naar info@beltug.be.
Fout opgemerkt of meer nieuws? Meld het hier