De huidige markt biedt weinig ruimte voor vergissingen: je hebt het juiste talent, op de juiste op het juiste moment nodig. Meer dan ooit moeten managers de brug slaan tussen it-teams en de boardroom om de beste strategische beslissingen te maken, en security speelt daar een belangrijke rol in.
Bedrijven die een beveiligingsarchitectuur ontwerpen door specialisten en topmanagers samen te laten werken, zullen beter in staat zijn de huidige, complexe bedreigingen het hoofd te bieden. Wanneer dit teamwork niet plaatsvindt, zie je al snel dat vitale bedrijfsonderdelen niet optimaal zijn ingericht, leidend tot kostbare inefficiënties en klantgegevens die risico lopen.
Lastig te meten
De impact van een cyberaanval is lastig te meten. Het Ponemon Institute berekende dat de kosten voor cybersecurity in 2017 zo’n 22 procent waren gestegen tot 11,7 miljoen dollar. Ondertussen steeg het aantal inbraken met 27 procent jaar op jaar. Een klap voor de omzet is vaak nog wel recht te zetten, een tik tegen de reputatie misschien niet.
Beveiligingsspecialisten als ciso’s en design-architecten worden vaak bekeken alsof ze van een andere planeet komen dan managers. Succes in de digitale economie vereist een gevorderd, naadloos denkpatroon, waarbij met heel veel zaken rekening wordt gehouden. Op de automatische piloot werken, en technologische vernieuwing buiten beschouwing laten, is echt niet meer mogelijk. Toch maken veel managers nog steeds slechts korte termijn it-beslissingen, gebaseerd op het kostenplaatje.
Het Ponemon Institute onderzoek onderstreept dit door te stellen dat investeringen vaak uit balans zijn. Zo was de grootste investering in ‘controle in de perimeter’, terwijl de kostenbesparingen dankzij technologie voor dit gebied slechts op een vijfde plek stond in de algehele ranking. We kunnen en moeten dus heroverwegen hoe we ons geld uitgeven. Er moet meer focus komen op het beveiligen van applicaties, de primaire gateway naar gevoelige informatie, of ze nu in de cloud staan, een lokaal datacenter of waar dan ook.
Drie stappen
Om security en business beter op een lijn te krijgen, zijn er drie stappen te zetten:
1. Voer disaster recovery en penetratietesten in, en betrek de managers in de planning en uitvoering hiervan. Het vergroot het bewustzijn doordat, meer dan bij een gebruikelijke audit, de gevaren praktisch duidelijk worden. Dergelijke testen laten zien hoe groot de impact kan zijn op dagelijkse bedrijfsactiviteiten.
2. Bereken de kosten van downtime. Deze kosten zijn afhankelijk van allerlei factoren, zoals omzet, industrie, duur van de uitval, geraakte derden en tijd op de dag. Door er een getal aan te hangen, ook al is het met een marge, is het makkelijker investeringen in security te rechtvaardigen.
3. Haal expertise in huis. Het is voor ciso’s en managers lastig een zinvolle discussie te voeren over cybersecurity als men te weinig kennis heeft van de best practices. Het betrekken van een externe consultant biedt vaak inzicht in de gevaren en tegenmaatregelen, kan het gesprek goed op gang helpen en biedt andere perspectieven.
Leidinggevenden zonder direct lijntje met cloud- en security-experts lopen veel mis. Een roadmap zonder aandacht voor security is gevaarlijk en onduidelijk. Samenwerking op alle niveaus maakt het niet alleen veiliger, maar stelt een bedrijf in staat om commerciële kansen te benutten en sneller en slimmer te werken. Betere bescherming van applicaties, processen en gegevens leidt tot betere resultaten. En dat argument moet alle leidinggevenden aanspreken.
“Het is voor ciso’s en managers lastig een zinvolle discussie te voeren over cybersecurity als men te weinig kennis heeft van de best practices”.
Nou, dan voer je toch een niet zo zinvolle discussie. Bovendien waarom naar al dat gezeur luisteren als de security experts van venus weer hun maandelijkse dip hebben. Met Lean Agile technieken kunnen immers we efficient wendbaar acteren op actuele situaties, zodat de business optimaal bediend kan worden. Of iets dergelijks. Ik heb ook geen idee, maar het klinkt mooi. “En dat argument moet alle leidinggevenden aanspreken.” 😉