Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Het duister aan de top van de trap—CISO-leiderschap
Het duister aan de top van de trap—CISO-leiderschap

Het duister aan de top van de trap—CISO-leiderschap

by Alan Levine updated november 10, 2022 Beheer van cyberbeveiligingsrisico's
Reading Time: 6 minutes

Stel, je moet een kritieke patch uitrollen binnen de organisatie, en deze patch vereist een herstart. Hoewel het afdwingen van een herstart om een kritieke patch toe te passen belangrijk is, veroorzaakt het een verstoring van de bedrijfsvoering die ook je klanten raakt. Vroeg of laat zal iemand binnen de organisatie klagen en kom je in het defensief terecht. Bovendien kun je een verplichte herstart niet verbergen, dus waarom zou je het alleen doen?

Communiceer je beslissing daarom niet alleen aan de betrokken partijen, maar ook aan je leidinggevenden. Zorg ervoor dat je de reden voor de herstart en het langetermijnvoordeel voor de organisatie benoemt. Het is ook essentieel dat je de uitdagingen en risico’s van een herstart benoemt. Patches brengen hun eigen problemen met zich mee, waaronder het feit dat ze soms niet werken en, zelden maar cruciaal, de situatie zelfs kunnen verergeren.

Je leidinggevenden moeten dit weten zodat ze een goede inschatting kunnen maken. Als je de noodzaak communiceert, zullen ze je steunen. Je moet er echter ook op voorbereid zijn dat het management besluit de patch niet door te voeren. Uiteindelijk nemen zij de beslissing, goed of fout, over zaken die de organisatie raken.

“Als je cybersecurityzaken niet communiceert aan de mensen die het bedrijf leiden, schaadt je de organisatie.”

Het niet communiceren van bekende of verwachte risico’s aan je leidinggevenden is alsof je hen in het donker laat staan bovenaan de trap. Je bent misschien geneigd om risico’s te verbergen voor het kritische oog van bezorgde leidinggevenden, uit angst dat het slecht op jou of je team afstraalt, maar je moet die verleiding weerstaan.

Als je cybersecurityzaken—waaronder organisatorische fouten—niet deelt met de mensen die het bedrijf leiden, schaadt je de organisatie.

Je zou kunnen stellen dat je als CISO alleen de voortgang van je cybersecuritymissie op een NEED-to-know-basis hoeft te communiceren, en dat het management niet altijd alles hoeft te weten. Je zou kunnen zeggen dat je toch al regelmatig updates geeft, dus als het misgaat, leg je het vast en rapporteer je het zodra je tijd en aandacht hebt. Verder communiceer je zelden “buiten de cyclus” omdat het onderwerp vaak te technisch of te gevoelig is om op een manier over te brengen die het management begrijpt of waardeert. Misschien ben je zelfs bang dat je als mislukkeling wordt gezien als je alleen uitdagingen en risico’s bespreekt.

Het tegendeel is waar: je faalt juist als je je mond houdt. Ik ken CISOs die niet van zich lieten horen toen ze dat wel hadden moeten doen, en sommigen van hen zijn geen CISO meer. Ze faalden niet vanwege hun fouten, maar vanwege hun terughoudendheid.

Bij uitdagingen zijn je senior leiders juist de ideale mensen om hulp aan te vragen. Als je kwetsbaarheden hebt die je niet kunt oplossen of als werkplekproblemen het succes van je programma in de weg staan, kan het management waardevolle aanbevelingen of richting geven.

“Probeer niet uit te rekenen of het datalek wel of niet aan het licht komt. Je bent een CISO en je ethisch handelen is alles.”

Als CISO ben je niet langer alleen technoloog, maar leider van de cybersecurityfunctie van je organisatie. Je bent lid van het leiderschapsteam. Succesvolle leiders erkennen dat communicatie, of het nu goed of slecht nieuws is, essentieel is. Kortom, niemand houdt van verrassingen als er veel op het spel staat.

Laten we drie scenario’s bekijken waar een CISO waarschijnlijk mee te maken krijgt. Zou jij deze communiceren aan het senior management?

Scenario #1

De Raad van Bestuur richt zich op belangrijke elementen die het succes van de organisatie kunnen sturen of eventuele tekortkomingen kunnen aanpakken. Voor de meeste Raden zijn reputatie, ethiek en integriteit, en naleving van regelgeving de belangrijkste aandachtspunten. Alle Raden zijn per definitie strategisch: ze richten zich op het grote geheel. Ze plannen voor de toekomst van de organisatie. Ze willen weten of de organisatie haar bedrijfsdoelstellingen behaalt. Ze willen weten of de organisatie haar prestaties meet en begrijpen hoe relevante en bruikbare metingen de strategie kunnen informeren.

Raden vinden het ook belangrijk hoe de prestaties en prioriteiten van jouw organisatie zich verhouden tot vergelijkbare organisaties. Benchmarking is altijd een nuttige activiteit voor CISOs, en Raden vertrouwen vaak op benchmarking om plannen en prestaties te meten.

“Ik ken CISOs die niet van zich lieten horen toen ze dat wel hadden moeten doen, en sommigen van hen zijn geen CISO meer.”

Scenario #2

Denk aan een complexere en inherent lastige situatie: insiderrisico. Je onderzoekt het gedrag van een medewerker die mogelijk een ernstig vergrijp heeft gepleegd. Je weet nog niet genoeg om iets te communiceren, dus je instinct is om te zwijgen. Je rechtvaardigt dat met de logica dat iedereen onschuldig is tot het tegendeel is bewezen en je hebt nog niet genoeg bewijs om het senior management te waarschuwen. Misschien heeft HR je zelfs geadviseerd om niet te communiceren omdat personeelskwesties “privé” zijn.

Als de activiteit een reëel bedrijfsrisico vormt, moet het management hiervan op de hoogte zijn. Het is hun taak om het risicoprofiel van de organisatie te beheren, het juiste risiconiveau te bepalen, elk risico te evalueren en te besluiten het te accepteren of te beperken.

Je aarzeling om dit onderzoek te delen is begrijpelijk. Als het uitlekt, kan iemand die onschuldig is reputatieschade oplopen, binnen én buiten de organisatie. Elke communicatie brengt immers een eigen risico met zich mee. Vertrouw op het vermogen van het management om geheimen te bewaren. Het leiderschapsteam weet immers veel zaken over de organisatie die jij nooit zult weten. Vertrouwelijkheid is een essentieel kenmerk van senior management.

Je kunt het privé communiceren. Plan een vergadering in plaats van een telefoongesprek en bespreek het niet via e-mail. Maar communiceer het wel. Het management heeft het recht te weten als iemand binnen de organisatie een potentieel risico vormt.

“Succesvolle leiders erkennen dat communicatie, of het nu goed of slecht nieuws is, essentieel is. Kortom, niemand houdt van verrassingen als er veel op het spel staat.”

Scenario #3

Als je nog twijfelt, denk dan aan dit eenvoudige voorbeeld: een cyberincident. Je zou zeker een aanval door een natiestaat of een financieel fraudegeval melden, maar wat doe je bij een PII-datalek door nalatigheid en het niet volgen van vastgestelde procedures?

Een leidinggevende neemt contact met je op omdat er een medewerker in haar kantoor zit te huilen. De medewerker wilde een spreadsheet sturen naar Johnny Jones bij de uitkeringsinstantie van je organisatie, maar verstuurde het per ongeluk naar een andere Johnny Jones. De spreadsheet bevat personeelsgegevens van medewerkers, van wie sommigen in de Europese Unie wonen, met gevolgen voor de GDPR.

Je eerste neiging is misschien om dit incident tussen jou, de leidinggevende en de medewerker te houden. Het was immers geen kwaadwillige actie, maar een vergissing. Je hoopt dat de verkeerde Johnny Jones de e-mail verwijdert zodra hij hem ontvangt. Je rechtvaardigt het om je kop in het zand te steken met uitdrukkingen als “dit gaat ook weer voorbij” en het New Yorkse “fuggedaboutit.”

Wat een kleine, onbedoelde blootstelling lijkt, kan echter uitgroeien tot een grote crisis. Persoonlijke dataprivacy is belangrijk. GDPR is belangrijk. En een mogelijke boete van 4% van de jaaromzet is zeker belangrijk. Als CISOs weten we dat, en toezichthouders blijven ons eraan herinneren.

Probeer niet uit te rekenen of het datalek wel of niet aan het licht komt. Je bent een CISO en je ethisch handelen is alles. Ga uit van het slechtste scenario, ook al hoop je op het beste. Verzamel de feiten over het datalek en rapporteer ze zoals je ze kent aan het management. Doe dit snel, voordat de verkeerde Johnny Jones het voor je doet.

Communiceren met het management is niet alleen het juiste om te doen. Voor een CISO is het de enige optie. Breng elk cybersecurity-issue dat ook maar enigszins relevant is onder de aandacht van de mensen bovenaan de trap. Spreek niet alleen, maar spreek je uit.

Veelgestelde vragen

Risicobeheer cyberbeveiliging is een strategische aanpak die organisaties gebruiken om potentiële bedreigingen voor hun digitale bezittingen te identificeren, beoordelen en prioriteren, zoals hardware, systemen, klantgegevens en intellectueel eigendom. Het omvat het uitvoeren van een risicobeoordeling om de meest significante bedreigingen te identificeren en een plan op te stellen om deze aan te pakken, bijvoorbeeld door preventieve maatregelen zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe dreigingen en organisatorische veranderingen. Het uiteindelijke doel van risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waardoor het een cruciaal onderdeel is van de totale risicobeheerstrategie van elke organisatie.

De belangrijkste onderdelen van een programma voor risicobeheer cyberbeveiliging zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cybersecuritybeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en evaluaties.

Organisaties kunnen cyberbeveiligingsrisico’s beperken via diverse strategieën. Denk aan het implementeren van sterke toegangscontroles zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het trainen van medewerkers om potentiële dreigingen te herkennen. Het gebruik van beveiligingssoftware, zoals antivirus- en anti-malwareprogramma’s, helpt bij het detecteren en verwijderen van bedreigingen, terwijl regelmatige back-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Een incident response plan kan de schade tijdens een cyberincident minimaliseren en regelmatige risicobeoordelingen helpen potentiële kwetsbaarheden te identificeren en aan te pakken. Tot slot helpt naleving van industriestandaarden en regelgeving, zoals de Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST) standaarden, organisaties om cyberbeveiligingsrisico’s verder te beperken.

Een risicobeoordeling is een cruciaal onderdeel van risicobeheer cyberbeveiliging. Hierbij worden potentiële bedreigingen en kwetsbaarheden geïdentificeerd, de mogelijke impact en waarschijnlijkheid van deze risico’s beoordeeld en worden ze geprioriteerd op basis van hun ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.

Continue monitoring is een essentieel onderdeel van risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt directe dreigingsdetectie en respons mogelijk, waardoor schade kan worden voorkomen of beperkt. Het zorgt ook voor naleving van cybersecuritystandaarden en regelgeving, zodat organisaties snel eventuele niet-naleving kunnen aanpakken. Door systeemprestaties te volgen, helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden en de verzamelde data ondersteunt besluitvorming over resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks