Direct naar het hoofdmenu Direct naar de content
Dit artikel wordt u aangeboden door Orange Cyberdefense
De redactie van Het Financieele Dagblad draagt voor deze inhoud geen verantwoordelijkheid.

Cybersecurity in de boardroom: van urgent naar onmisbaar 

De board moet zich proactief laten informeren over de cybersecurity van de organisatie. Niet alleen  omdat er nieuwe wetgeving ophanden is die een bepaalde mate van kennis vereist – niet in de laatste plaats NIS2 – maar doordat security alle facetten van een organisatie raakt. De Chief Information Security Office (CISO) gaat hierin een steeds crucialere rol spelen. 

Cybersecurity was jarenlang belegd bij de afdeling IT. Maar die periode lijkt voorgoed voorbij. Het snel veranderende dreigingslandschap vereist namelijk een hogere betrokkenheid van de board en een cybersecurityaanpak die wendbaar is. Zo constateerde Orange Cyberdefense voor 2023 het hoogste aantal slachtoffers van cyberafpersing ooit. Deze toename wordt mede toegeschreven aan het feit dat steeds meer dreigingsactoren politiek of ideologisch gemotiveerd zijn, waarbij maar liefst 85 procent van al deze hacktivistische aanvallen in 2023 betrekking had op Europa. 

NIS2 

Ook de komst van NIS2 heeft impact op de rol en verantwoordelijkheid van de board. Deze nieuwe wetgeving maakt directieleden namelijk ook persoonlijk aansprakelijk als ze nalatig omgaan met cybersecurity. En hoewel 88 procent van de boardmembers (Gartner 2022) vindt dat cybersecurity wel degelijk een onderwerp is voor in de board komt het onderwerp nog maar nauwelijks ter sprake in de bestuurskamer.  

De CISO lijkt de aangewezen persoon om deze kloof te overbruggen, maar hij of zij moet die rol dan wel pakken. ‘De kennis van veel boardmembers over de securitystrategie van hun bedrijf reikt vaak niet verder dan “zorgen dat onze data veilig is en dat we niet geransomwared worden”.’ Dat stelt Matthijs van der Wel, strategisch adviseur bij Orange Cyberdefense. ‘Maar dat laatste is natuurlijk geen strategie. Het is belangrijk voor een organisatie om te kijken naar het sociale en morele contract tussen bestuurders en de manier waarop zij tegen cybersecurity aankijken.’ Een bedrijf kan het beste jongetje van de klas willen zijn wanneer het op cybersecurity aankomt, maar dat vergt forse investeringen. 

CISO als brugfunctie 

‘Wat bestuurders zich moeten afvragen is welk cyberincident direct een forse impact heeft op de bedrijfsstrategie, mocht het zich voordoen’, zegt Dennis de Geus, CEO van Orange Cyberdefense. Hij beaamt dat dit voor veel organisaties een uitdaging is om helder te krijgen. ‘Het is belangrijk dat de CISO verbonden is met het bestuur, de bedrijfsafdelingen en hun doelstellingen. Anders is het namelijk onmogelijk om de veiligheidspositie van de onderneming te verbeteren, laat staan de securitystrategie in te zetten als versneller voor het bedrijf.’ Richard Kerkdijk, senior securityconsultant bij TNO, vindt dat een CISO een belangrijke rol speelt. ‘Een goed gepositioneerde CISO heeft nauw contact met het bestuur van de onderneming. Het bestuur moet de strategie onderschrijven en in de organisatie uitdragen, wil het een succes worden. Het is belangrijk om inzichtelijk te hebben waar je risico’s en kwetsbaarheden zitten en wat de risicobereidheid van je organisatie is. Daar kun je een gerichte strategie aan ontlenen.’ De Geus: ‘Cybersecurity mag geen compliance exercitie worden waarbij een lijstje wordt afgevinkt, want dan kom je niet op de punten waar het risico daadwerkelijk zit. Het moet gaan over waar een bestuurder echt pijn voelt wanneer het misgaat en hoe security kan worden ingezet als versneller voor het bedrijf.’  

Vraag als CISO je bestuurder eens op de stoel van de concurrent te gaan zitten en te bepalen waarin ze geïnteresseerd zouden zijn als ze het bedrijf dwars zouden willen zitten

Matthijs van der Wel
Strategisch adviseur bij Orange Cyberdefense  

Pijnpunten inzichtelijk maken 

Bestuurders weten precies waarmee geld wordt verdiend en waar de belangrijkste risico’s van de organisatie zitten. Door dit gesprek te voeren, krijgt een securityafdeling of CISO inzichtelijk waar de pijnpunten zitten en wordt bovendien bewustwording gecreëerd bij bestuurders. Het aanpakken van deze pijnpunten vereist zorgvuldige planning en toegang tot actuele informatie om de potentiële bedreigingen te begrijpen. Van der Wel: ‘Deze inzichten stellen je in staat om je aanvalsoppervlak en risicoprofiel vast te stellen, terwijl je je meest waardevolle assets identificeert. Door gebruik te maken van assessments en technische tests kun je vervolgens je beveiligingspositie bepalen. Dit helpt bij het nemen van investeringsbeslissingen in de juiste technologie en expertise om je cybersecuritystrategie naar een hoger niveau te tillen.’  

Te technische benadering 

Van der Wel vindt dat security nog vaak te technisch benaderd wordt. ‘Het mist daardoor de connectie met het persoonlijke belang van de bestuurder. Vraag als CISO je bestuurder eens om als concurrent naar de eigen organisatie te kijken en te bepalen waarin ze geïnteresseerd zouden zijn als ze dat bedrijf dwars zouden willen zitten.’ Kerkdijk: ‘Een goede strategie gaat over waar je over drie tot vijf jaar wilt staan, maar ook over je huidige mate van security volwassenheid, de mate waarin je op bepaalde dreigingen bent voorbereid, hoe het gesteld staat met je securitycultuur, resourcing en skills. En wat je moet doen om van je huidige positie te komen naar je geambieerde stip op de horizon.’ 

Een strategie op papier levert niet zoveel op. De vertaalslag naar initiatieven om de gestelde ambitie te bereiken is essentieel voor succes

Richard Kerkdijk
Senior security consultant bij TNO  

Bedrijfsbrede blik 

Het gevaar is dat een cybersecuritystrategie te eenzijdig wordt belicht, waarschuwt Kerkdijk. ‘Je moet goed weten wat er in je bedrijf gebeurt, maar ook wat er in de omgeving van jouw organisatie gaande is. De cybersecuritystrategie moet aansluiten op de bredere bedrijfsstrategie, maar ook anticiperen op nieuwe wet- en regelgeving, zoals de NIS2, en ontwikkelingen in technologie zoals genAI of een eventuele transitie naar de cloud.’ Bestuurders hoeven volgens Kerkdijk inhoudelijk niet alle details te kennen, als ze zich maar wel proactief laten informeren en zich uitspreken over de behoeftes, de risk appetite en pijnpunten van het bedrijf. ‘Wil je een strategie succesvol implementeren, dan is de buy-in van bestuurders cruciaal en moeten concrete verbeterprogramma’s en projecten worden gestart. Een strategie alleen op papier levert je niet zoveel op.’ 

De CISO wordt de dirigent van het IT-orkest. Dat vergt inzicht, kennis van verschillende gebieden en weten hoe je dat gaat versterken zodat de symfonie gaat klinken

Matthijs van der Wel
Strategisch adviseur bij Orange Cyberdefense

CISO steeds belangrijker

Van der Wel ziet de rol van de CISO steeds belangrijker worden binnen organisaties. ‘Er is een transitie gaande waarin de CISO steeds meer opschuift en in toenemende mate de taal van de board moet kunnen spreken. Ik denk dat de CISO de dirigent van het IT-orkest wordt, waarbij hij alle groepen muzikanten goed moet kunnen begrijpen om ze in harmonie te laten samenspelen. Een deel van die muzikanten is de Raad van Bestuur, een ander deel zijn andere bedrijfsafdelingen. Maar ook het team dat verantwoordelijk is voor de infrastructuur is onderdeel van het orkest, net als de developers die in de cloud nieuwe dingen bouwen. Hoe ga je dat bij elkaar brengen? Dat vergt inzicht, kennis van die gebieden en weten hoe je dat gaat versterken zodat die symfonie gaat klinken.’ Natuurlijk kunnen veel zaken met behulp van automatisering worden ondervangen, maar doordat het IT-landschap en daarmee cybersecurity steeds complexer wordt, wordt de inhoudelijke rol van de CISO steeds belangrijker. Van der Wel: ‘Waar staat al mijn informatie, hoe is het beveiligd, wat zijn de risico’s en hoe wordt daar rekening mee gehouden? We zien de rol en het speelveld van de CISO veranderen van techniek en uitvoering naar meer strategie en overzicht op het steeds complexer wordende IT-landschap.’ 

Cybersecurity moet vooral wendbaar zijn

Matthijs van der Wel 
Strategisch adviseur bij Orange Cyberdefense 

Wendbaar 

Kerkdijk zei het al: achteroverleunen is er niet bij als het gaat om een securitystrategie. ‘De wereld waarin ondernemingen opereren is enorm veranderlijk.’ Hij wijst op de razendsnelle opkomst van genAI afgelopen jaar. ‘Wanneer je anderhalf jaar geleden een strategie hebt opgesteld, had je dit wellicht niet voorzien. Maar zo’n ontwikkeling kan er wel voor zorgen dat je de securitystrategie moet aanpassen.’  

Ook Van der Wel en De Geus onderschrijven dat een securitystrategie nooit helemaal af is. ‘Cybersecurity moet vooral wendbaar zijn’, zegt Van der Wel. ‘Je kunt denken dat je alles goed hebt geregeld, maar wanneer morgen bekend wordt dat een leverancier waarvan jouw bedrijf veel software gebruikt, kwetsbaarheden heeft ontdekt in zijn product, ben je direct zo lek als een mandje. Dat maakt risicomanagement zo lastig, omdat je te maken hebt met extremen. Technologie ontwikkelt zich in een razend tempo en dat heeft dus ook gevolgen voor cybersecurity.’ 

Stel je als bestuurder niet afwachtend op maar zorg dat je actief betrokken bent bij de securitykoers van je organisatie

Richard Kerkdijk
Senior security consultant bij TNO  

Bestuurder aan zet 

De Geus adviseert bestuurders om eens echt het gesprek aan te gaan met elkaar over wat de top 5-risico’s is voor het bedrijf. ‘En dan niet generaliserend, maar echt de dingen benoemen die impact hebben op de realisatie van je bedrijfsstrategie. Met die top 5 ga je vervolgens met je CISO de dialoog aan hoe de organisatie beschermd is tegen die risico’s.’ Dat onderschrijft ook Kerkdijk: ‘Stel je als bestuurder niet afwachtend op maar zorg dat je actief betrokken bent bij de securitykoers van je organisatie. Vraag ook van je CISO dat hij of zij een visie heeft over hoe de securitycultuur zich moet ontwikkelen. En welke technische competenties daarbij horen. Hierbij moet rekening gehouden worden met de bedrijfsambities van de komende jaren en met wat er in de omgeving gebeurt.’ 

De Geus: ‘Cybersecurity is enorm complex. Als het makkelijk was, deden we het namelijk allemaal wel goed’. Een securitypartner die diepgaand inzicht heeft in het dreigingslandschap en jouw industrie is daarbij onmisbaar.  

Orange Cyberdefense

Orange Cyberdefense is de cybersecurity business unit van de Orange Group en is Europees marktleider voor het leveren van hoogwaardige managed security, managed threat detection & response-services aan organisaties. Met een focus op bedreigingsonderzoek en het leveren van inlichtingengestuurde beveiliging biedt het bedrijf inzicht in zowel huidige als nieuwe cyberdreigingen. Orange Cyberdefense heeft een wereldwijd netwerk van 18 SOC’s, 14 CyberSOC’s en 4 CERT’s. Ze helpen klanten cyberweerbaar te zijn en zorgen dat security de katalysator wordt voor digitale groei. Samen met klanten bouwt het bedrijf aan een veerkrachtige en veilige digitale samenleving