Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Effectieve communicatie met de Raad van Bestuur voor CISO’s
Effectieve communicatie met de Raad van Bestuur voor CISO's

Effectieve communicatie met de Raad van Bestuur voor CISO’s

by Alan Levine updated oktober 4, 2022 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Kennismaken met uw Raad van Bestuur

Als u een CISO bent, weet uw Raad van Bestuur doorgaans wie u bent en wat u doet. Maar weet u wie zij zijn? Geen enkele Raad van Bestuur is homogeen. Elk lid brengt unieke waarde mee. Elk lid wordt geselecteerd op basis van wat hij of zij toevoegt aan het perspectief, de visie en de beslissingen van de Raad. Als u uw Raad kent, kunt u uw boodschap afstemmen op uw publiek en voorkomt u mogelijke verrassingen.

Begin met uzelf af te vragen: wie zijn de leden van uw Raad? Wat zijn hun vaardigheden, sterke punten en specifieke interesse- of zorggebieden? Leer hun prioriteiten en doelstellingen kennen, want wat voor ieder van hen belangrijk is, zal waarschijnlijk ook voor de gehele Raad gelden. En wat voor uw Raad belangrijk is, is de zuiverste definitie van wat voor uw organisatie belangrijk is.

Er zijn nog andere overwegingen. Als leden van de Raad ook in andere organisaties bestuurslid zijn, hoe kunnen die relaties dan verband houden met uw organisatie? Zijn ze specialist in een bepaalde branche of sector? Werken ze in een specifieke functie of afdeling, zoals Financiën, IT of Operations?

Als ze niet in andere Raden van Bestuur zitten, nemen ze mogelijk deel aan de directieraad van een andere organisatie, en dat kan zelfs de belangrijkste reden zijn waarom ze voor uw Raad zijn gekozen. Doe zoveel mogelijk onderzoek naar uw bestuursleden. Hoe meer u weet, hoe comfortabeler u met hen communiceert.

Het is misschien niet belangrijk om te weten of bestuursleden cyber security kennis of ervaring hebben. Zeker is dat iedereen in een leidinggevende functie inmiddels veel heeft geleerd over cyber security. Organisaties praten met en leren van andere organisaties over hun knelpunten en misschien ook over hun cyberincidenten.

Toch is het mogelijk dat een of meer bestuursleden formele cyber security kennis hebben. Misschien hebben ze in technologie-gerelateerde functies gewerkt of bij een technologiebedrijf. Misschien liggen hun persoonlijke interesses op technisch vlak, wat zowel voordelen als nadelen heeft. Zoals het cliché luidt: kennis kan een tweesnijdend zwaard zijn, en een beetje kennis kan problematischer zijn dan geen kennis. Wees voorbereid op die mogelijkheid.

“Begin met uzelf af te vragen: wie zijn de leden van uw Raad van Bestuur?”

U moet ook de samenstelling van uw Raad begrijpen. Hoe is deze georganiseerd? Is de voorzitter een onafhankelijke directeur wiens enige betrokkenheid bij de organisatie het bestuurslidmaatschap is, of is het een medewerker van de organisatie, bijvoorbeeld de CEO?

De Raad heeft zich waarschijnlijk georganiseerd volgens organisatiegebieden: Financiën, Governance en Beloning zijn typische commissies van de meeste Raden. Andere – en de belangrijkste voor een CISO – zijn de commissies Risico en Audit. Sommige Raden hebben zelfs een subcommissie Risico en Audit ingesteld die zich specifiek op cyber security richt.

Ongeacht waar cyber security als domein binnen de commissies van de Raad valt, is het waarschijnlijk dat het toezicht op cyber security aan een bepaalde functie of aan een of meer leden van de Raad is toegewezen. Gezien uw rol als CISO en het potentiële risico dat cyberdreigingen voor uw organisatie vormen, is dit niveau van betrokkenheid waarschijnlijk gunstig voor uw missie.

Begrijp de prioriteiten van uw Raad

Uw Raad richt zich op belangrijke elementen die het succes van de organisatie kunnen sturen of falen en zwakke plekken kunnen aanpakken. Voor de meeste Raden staan de reputatie van de organisatie, ethiek en integriteit, en naleving van regelgeving centraal.

Alle Raden zijn per definitie strategisch. Ze richten zich op het grotere geheel. Ze plannen voor de toekomst van de organisatie. Ze vinden het belangrijk of de organisatie haar bedrijfsdoelstellingen behaalt. Ze letten erop of de organisatie haar prestaties meet en begrijpen hoe relevante en bruikbare metingen de strategie kunnen informeren.

Raden vinden het ook belangrijk hoe de prestaties en prioriteiten van uw organisatie zich verhouden tot vergelijkbare organisaties. Benchmarking is altijd een nuttige activiteit voor CISO’s, en Raden vertrouwen vaak op benchmarking om plannen en prestaties te meten. Dit moet onderdeel zijn van de cyberrisicobeheerstrategie van een CISO.

Communiceer doelgericht met uw Raad

Het kan zijn dat u wel of niet direct contact heeft met uw Raad. Als u denkt dat u een kwestie of informatie heeft die aan de Raad moet worden voorgelegd, bespreek dit dan met uw leidinggevende en, direct of indirect, met uw CEO. Uw CEO beslist wat wel of niet aan de Raad wordt gepresenteerd. U spreekt alleen met de Raad met goedkeuring van uw CEO.

Probeer nooit uw managementteam of CEO te omzeilen om direct met de hele Raad of individuele leden te spreken, hoe urgent de kwestie ook is. Vermijd het trekken van het alarm en eisen dat u gehoord wordt door de Raad.

De schade aan uw missie – en uw reputatie binnen de organisatie – kan onherstelbaar worden. Uw Raad maakt zich zorgen over veel onderwerpen, en cyber security is daar slechts een onderdeel van. Werk binnen het bestaande systeem en breng zorgen binnen dat kader naar voren.

Als u wordt gevraagd om met de Raad te spreken, zijn ze waarschijnlijk geïnteresseerd in iets heel specifieks – een update over een cyberincident, of de relatieve veerkracht van uw organisatie na een recent bekend geworden cyberincident bij een andere organisatie.

Of ze zijn geïnteresseerd in een algemene statusupdate over de cyber security projecten en programma’s van de organisatie. Ze zijn niet per se geïnteresseerd in wat u belangrijk vindt, maar ze willen waarschijnlijk graag weten wat zij belangrijk zouden moeten vinden.

“Vertel ze alles waarvan u denkt dat ze het moeten weten.”

Als u de Raad of een subcommissie daarvan toespreekt, vertel ze dan alles waarvan u denkt dat ze het moeten weten. Informeer, onderricht, verrijk en begeleid hen.

Vertel over uw huidige grote cyber security projecten en toekomstige initiatieven. Vertel over uw risicobeoordelingen en de huidige risicostatus.

Vertel over de volwassenheid van uw cyber security programma en hoe uw programma scoort in benchmarking-oefeningen.

Vertel hoe uw cyber security programma waarde kan toevoegen of andere zakelijke voordelen kan opleveren.

Vertel dit allemaal als de tijd het toelaat. U krijgt ongeveer 10 minuten. Reken op onderbrekingen.

Uw Raad kan over van alles vragen stellen. Bijvoorbeeld,

  • Hebben we incidenten gehad?
  • Voeren we het plan uit?
  • Wat zijn onze risico’s?
  • Hoe verhouden we ons tot onze branchegenoten?
  • Hoe pakken we cyberrisico’s bij derden en in de toeleveringsketen aan?
  • Hoe integreert en ondersteunt ons cyber security programma de IT- en OT-initiatieven van de organisatie, zoals digitale transformatie of operationele uitmuntendheid?

“Verras uw leidinggevenden nooit met een onderwerp of kwestie waarvan de voorzitter of uw CEO niet op de hoogte is.”

Begin altijd met het voorbereiden van de voorzitter van de Raad of de CEO. Lever vooraf leesmateriaal aan. Jaarlijkse rapporten zoals het “Cost of a Data Breach Report” van IBM en Ponemon Institute en het “Data Breach Investigations Report” van Verizon zijn waardevol voor vrijwel elke C-level executive.

Verras uw leidinggevenden nooit met een onderwerp of kwestie waarvan de voorzitter of CEO niet op de hoogte is. Hoewel het ongebruikelijk is, kunnen sommige bestuursleden om aparte gesprekken vragen, maar deze gesprekken mogen alleen plaatsvinden als de voorzitter of CEO op de hoogte is van het verzoek en uw deelname vooraf heeft goedgekeurd.

De rol van uw Raad in cyber security kan doorslaggevend zijn. Raden en het senior management bepalen de toon voor een kwalitatief cyber security programma. Leiderschap van bovenaf is essentieel. Ja, gebruikersgedrag is cruciaal voor elk cyber security programma en u heeft betrokkenheid van onderaf nodig, maar uw missie wordt bepaald op het hoogste niveau van uw organisatie.

Vertel uw Raad wat ze moeten weten

Als uw organisatie een beursgenoteerd bedrijf is, zal de Raad waarschijnlijk veel belangstelling hebben voor dezelfde informatie die de SEC van alle beursgenoteerde organisaties vereist in hun openbare rapportages. Ze zijn geïnteresseerd in belangrijke risicofactoren, niet in de details van uw kwetsbaarhedenbeheer of detectie- en responsprogramma’s. Ze willen alleen horen over uw basisverwachtingen op het gebied van hygiëne als de huidige situatie van uw organisatie aanzienlijk afwijkt van het plan en dat grote risico’s met zich meebrengt.

Wees in elke communicatie met uw Raad consistent in het uitdragen en uitleggen van het lange termijn perspectief, de strategische visie, en niet alleen een momentopname — zelfs als dat moment sterk wordt beïnvloed door een actuele gebeurtenis.

Sommige organisaties hebben bijvoorbeeld tijdens COVID hun cyber security zorgvuldigheid verhoogd om extra aandacht te besteden aan thuiswerken en online samenwerkingstools. Andere organisaties hebben sommige cyber security programma’s vertraagd of gepauzeerd vanwege financiële beperkingen of andere factoren. Dit zijn momentopnames van uw huidige cyber security programma.

Wat zijn de langetermijngevolgen, als die er zijn? Onthoud: een cyber security programma draait niet alleen om goede verdediging; het gaat vooral om het vermogen van een organisatie om cyber resilient te zijn, om door te kunnen gaan en de zwaarste stormen te doorstaan.

“Wees in elke communicatie met uw Raad consistent in het uitdragen en uitleggen van het lange termijn perspectief, de strategische visie, en niet alleen een momentopname.”

Uiteindelijk moet uw Raad weten of uw organisatie cyber secure is. Identificeert uw programma risico’s, meet het deze op waarschijnlijkheid en impact, en worden er slimme beslissingen genomen over uitgaven, inspanningen en focus?

Is er een programma voor voortdurende verbetering en versterking? Begrijpt men wat het betekent om te voldoen aan wettelijke kaders? Dit zijn geen moeilijke vragen voor een CISO, maar het vereist tact en zorg om ze zo te beantwoorden dat uw Raad het begrijpt, waardeert en accepteert. Druk uzelf uit met helderheid, overtuigingskracht en vertrouwen om het leiderschap het vertrouwen te geven dat u de juiste dingen op de juiste manier doet. U, uw Raad en uw organisatie zullen er beter van worden.

Veelgestelde vragen

Cybersecurity Risk Management is een strategische aanpak die organisaties gebruiken om potentiële bedreigingen voor hun digitale activa te identificeren, beoordelen en prioriteren, zoals hardware, systemen, klantgegevens en intellectueel eigendom. Het omvat het uitvoeren van een risicobeoordeling om de belangrijkste bedreigingen te identificeren en een plan op te stellen om deze aan te pakken, waaronder preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe bedreigingen en organisatorische veranderingen. Het uiteindelijke doel van Cybersecurity Risk Management is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waardoor het een cruciaal onderdeel is van de algehele risicobeheerstrategie van elke organisatie.

De belangrijkste onderdelen van een Cybersecurity Risk Management programma zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cyber security beleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en beoordelingen.

Organisaties kunnen cyber security risico’s beperken via diverse strategieën. Denk aan het implementeren van sterke toegangscontroles zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het trainen van medewerkers om potentiële bedreigingen te herkennen. Het gebruik van beveiligingssoftware, zoals antivirus- en anti-malwareprogramma’s, helpt bedreigingen te detecteren en elimineren, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Een incident response plan minimaliseert schade tijdens een cyber security incident, en regelmatige risicobeoordelingen helpen potentiële kwetsbaarheden te identificeren en aan te pakken. Tot slot helpt naleving van industriestandaarden en regelgeving, zoals de Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST) standaarden, organisaties om cyber security risico’s verder te beperken.

Een risicobeoordeling is een cruciaal onderdeel van Cybersecurity Risk Management. Het omvat het identificeren van potentiële bedreigingen en kwetsbaarheden, het beoordelen van de potentiële impact en waarschijnlijkheid van deze risico’s, en het prioriteren ervan op basis van ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.

Continue monitoring is een essentieel onderdeel van Cybersecurity Risk Management en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt directe dreigingsdetectie en reactie mogelijk, waardoor schade kan worden voorkomen of beperkt. Het zorgt ook voor naleving van cyber security standaarden en regelgeving, zodat organisaties snel eventuele non-conformiteiten kunnen aanpakken. Door het volgen van systeemprestaties helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data besluitvorming ondersteunt over resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks