CFO’s bang voor reputatieschade door cybercrime

Na het bericht over het aanstellen van CISO’s in grote bedrijven en het feit dat wij, als informatiebeveiligers, ons best moeten doen om aansluiting te vinden bij het top management van de organisatie gaan we daar vandaag verder op in.

Nederlandse CFO’s geven de computerbeveiliging van hun bedrijf gemiddeld een 6,8. Dat blijkt uit onderzoek van Deloitte. CFO’s zijn vooral bang voor reputatieschade, als hun bedrijf ten prooi valt aan cybercrime (bron).

Dit bericht bevestigd waar we het al vaker, veel vaker, over hebben gehad. Het gaat het management helemaal niet om de technische of de informatiebeveiligingsrisico’s. Nee, het gaat het top management om kosten, omzet en imago. Blijkbaar worden de CFO’s met name getriggerd door het imago van de organisatie.

Bij onze volgende risico analyse moeten we dus extra aandacht besteden aan het risico voor ons imago. Prima dat we duidelijk willen maken dat onze firewall echt niet meer kan en dat we daarmee grote risico’s lopen. Maar leg dan ook uit dat we het risico lopen dat klantgegevens op grote schaal op straat komen. De CFO kan dan zelf wel bedenken dat hij dit een onacceptabel risico voor de organisatie vindt.

Bekijken het we zo en houden we in ons achterhoofd dat veel organisaties geen CISO hebben, dan moeten er misschien voor zorgen dat de CFO onze grootste sponsor wordt. Een 6,8 klinkt als een voldoende maar is dat misschien voor jouw organisatie helemaal niet. En ja, dat cijfer is arbitrair maar kan ons ook helpen om daadwerkelijk meer aan beveiliging te gaan doen.

Maar laten we dan ook terug vallen op het feit dat het niet alleen gaat om technische maatregelen. Nee, we maken duidelijk welke risico’s we lopen (voor het imago) maar we geven ook duidelijk aan met welke combinatie van technische, organisatorische en procedurele maatregelen we dat risico naar een acceptabel niveau kunnen brengen.

De komende jaren hebben we echt de kans om informatiebeveiliging naar de volgende volwassenheidsfase te laten groeien. Aan ons de keus of we die kans voorbij laten gaan of met beide handen aanpakken.

Omgang met informatiebeveiligingsplannen

Zoals we gisteren al schreven, maken we geen beveiligingsplannen om ze in de kast te zetten en ze te laten verstoffen. Nee, de beveiligingsplannen hebben een doel en we moeten dus ook goed kijken wat we exact met deze plannen willen en kunnen bereiken.

De vraag die daarbij hoort, is:
Is er een goed begrip binnen de organisatie met betrekking tot de omgang met deze beveiligingsplannen?

De plannen die we opstellen moeten ervoor zorgen dat de gemaakte keuzes vastliggen. Zover niets bijzonders, dat kan inderdaad eenmalig en vervolgens laten we flinke lagen stof ontstaan op deze plannen. Maar dat kan nooit het doel zijn. De plannen leggen vast wat we beloven, we zullen ze dus als kaders moeten gebruiken bij het afdekken van risico’s en het implementeren van maatregelen.

Dat zouden we natuurlijk ook eenmalig kunnen doen. Maar dan lijkt het meer op een projectplan dan op een beveiligingsplan. Een project is immers uniek en voeren we eenmalig uit, maar beveiliging is geen eenmalige activiteit. Nee, beveiliging is een continu proces.

Daarom moeten we na verloop van tijd goed kijken of onze plannen nog aansluiten bij de risico’s. Het kan best zo zijn dat de risico’s inmiddels gewijzigd zijn. Er zijn nieuwe dreigingen bij gekomen, de omgeving is gewijzigd of het risicogedrag van de organisatie is bijgesteld.

Nu vormen de plannen een mooie basis om onze evaluatie uit te voeren. Doen we het conform plan? Moeten we het plan bijstellen? De “lessons learned” helpen ons verder op onze weg om het juiste niveau van beveiliging te bereiken. Niet te weinig, maar zeker ook niet teveel doen.

De praktijk leert ons dat we bij de eerste cyclus die we doen eerder te weinig of het verkeerde aan beveiliging doen omdat we nog niet helemaal gewend zijn om risico’s af te dekken en niet slechts maatregelen te implementeren. Naarmate we verder in het traject komen zien we dat we juist eerder maatregelen af kunnen schaffen of technische maatregelen kunnen vervangen door organisatorische (die vaak goedkoper zijn en meer effect sorteren). Dat komt omdat iedereen zijn of haar rol beter in gaat vullen en beter leert te denken in de risico’s. Die risico’s hoeven we niet per definitie af te dekken en al helemaal niet met technische maatregelen, nee, we leren beter te kijken naar kosten en baten en daarmee bereikt de beveiliging al een beter niveau.