Digitale inbrekers hebben de data van maar liefst 143 miljoen mensen weten te stelen, maar nog schokkender is dat is gebleken dat de oorzaak ligt in het niet tijdig patchen van software, een klus die toch tot de routine zou moeten behoren. Het catastrofale incident kostte de CISO, CIO en CEO hun baan.

Begrijp me niet verkeerd: de verantwoordelijkheid voor cyberweerbaarheid ligt in de directiekamer en rust zwaar op de schouders van de topmanagers. Dat komt nog eens extra tot uiting in een recent onderzoek van de ISACA en MIT, dat overweldigend bevestigde dat CEO's en de directie leidend zijn in digitale initiatieven.

Krachtige aansturing van en toezicht op cybersecurity is binnen organisaties tegenwoordig een essentieel onderdeel van de totale governance op hun informatie en technologie, en op dat punt zijn er nog veel hordes te nemen. ISACA's onderzoek, Better Tech Governance is Better for Business, laat zien dat slechts iets meer dan de helft van de bedrijfstop denkt dat hun topmanagement en directie alles doen wat ze kunnen in het beschermen van de digitale assets in het bedrijf, en minder dan de helft van de directies is van plan flink meer te investeren in hun cyberdefensie in het komende jaar, ondanks dat het aanvalsoppervlak en de dagelijkse veranderingen in het dreigingslandschap.

Er wordt tegenwoordig in de media en literatuur veel geroepen over de noodzaak dat directeuren en topmanagers beschikken over meer technische competenties en beter overzicht op hetgeen er gebeurt in de organisatie. Er zijn tevens herhaalde oproepen aan directies en topmanagers om meer te investeren in cybersecurity en risk management, niet alleen om ramspoed te voorkomen maar vooral als enabler van de innovatie die nodig is om mee te spelen in de snel veranderende en in toenemende mate complexer wordende technologielandschap en de wetgevende en toezichthoudende machten.

Het antwoord erop lijkt eenvoudig genoeg: haal nieuwe experts op dit onderwerp binnen in je directie die de juiste vragen kunnen stellen. Dat is weliswaar een goed begin, maar er mist nog steeds wat - het fundamentele vermogen om kwalitatief en kwantitatief de bekwaamheid van een organisatie te meten, waarop je verder kan bouwen aan je weerbaarheid.

Hoe iedereen te mobiliseren

Een CISO bij een wereldwijd opererende betaalbedrijf vertelde onlangs aan mij zijn verhaal, dat hij door een directielid van zijn bedrijf werd gevraagd of "we veilig zijn". Zijn antwoord was "ik denk het wel"., waarop de directeur vroeg wat hij daarmee bedoelde. Het verhaal was leerzaam voor me en bevestigde de noodzaak voor ISACA en het CMMI Institute samen te werken met industrieleiders in het ontwikkelen van een risico-gebaseerde bedrijfsbrede zelf-assessment dat een holistisch beeld moet geven van de bestaande kwaliteiten in een organisatie om zichzelf te kunnen beschermen en te verdedigen tegen aanvallen.

Totdat dat assessment is afgerond wordt er eerst een rapport gemaakt over de huidige staat van de onderneming, waarbij wordt gekeken naar hoe de organisatie staat ten opzichte van andere organisaties van dezelfde grootte, op dezelfde geografische locatie of of in hetzelfde marktsegment. De uitkomsten van de assessment kunnen door directies worden gebruikt om inzicht te krijgen in de huidige staat van het bedrijf, en daarop een roadmap te baseren richting een verbeterde weerbaarheid die de basis vormt voor verdere investeringen in riskmanagement en de business. CISO's en directieleden hoeven dan niet te denken dat hun organisatie veilig is; ze weten dat het zo is.

Met de ondersteuning uit de markt en de overheid, samen met belanghebbenden uit onze securitycommunity, kan deze assessment uitgroeien tot een breed geaccepteerd 'universeel consensus-model' om vooruitgang in de diverse industriesectoren te meten. Zonder een dergelijke tool zullen organisaties, waarvan vele worstelen met het vinden van tech-onderlegde bestuurders, blijven opereren met incomplete of misleidende informatie die nodig is on te beslissingen hoe te investeren in materiaal, training en personeel dat nodig is om een effectief securityprogramma te maken en te onderhouden.

De druk die managers tegenwoordig voelen als het gaat om een betrouwbare cybersecurity en risicomanagement is groot. De taak om deze essentiƫle punten van zorg aan te pakken is niet makkelijk. De dagen waarin cybersecurity gezien werd als een technologisch probleem zijn allang voorbij. Cybersecurity is nu een strategisch bedrijfsrisico dat, als het juist wordt gemanaged, een onderneming kan versterken in het effectief en veilig innoveren. Wellicht is nu de tijd rijp voor die nieuwe mogelijkheden om cyberweerbaarheid te meten, en zo de lat zo breed mogelijk hoger te leggen.