Verkopen aan een CISO? Toon empathie, geen verkooptrucs
De markt voor cyberbeveiliging is booming. Vraag het maar aan elke kandidaat voor een cyberbeveiligingsfunctie. Of beter nog, vraag het aan elke leverancier die CISOs bedient. Het leverancierslandschap is bijzonder omvangrijk en blijft groeien. Slechts drie jaar geleden werd geschat dat er wereldwijd minder dan 2.000 leveranciers van cyberbeveiliging waren. Recente schattingen wijzen op meer dan 3.000, en dat is alleen al in de VS. Wie weet hoeveel andere leveranciers er zijn die een specifiek onderdeel van IT-controles leveren dat indirect cyberbeveiliging ondersteunt? Hoe dan ook, het is duidelijk dat CISOs een breed en diep aanbod aan potentiële leveranciers hebben, en het universum van oplossingen blijft zich uitbreiden.
Toch zouden de meeste CISOs waarschijnlijk liever slechts een handvol leveranciers hebben die echt begrijpen wat CISOs werkelijk nodig hebben.
Leveranciers van cyberbeveiliging praten over wat ze doen, wat ze hebben ontwikkeld en wat ze te koop aanbieden. Ze ontwikkelen nieuwe oplossingen of verbeteren bestaande producten en wanneer ze met CISOs in gesprek gaan, praten ze vaak over deze oplossingen alsof geen enkele CISO zonder zou willen. Dat is helaas een eenzijdig gesprek. De CISO probeert misschien in te haken om het product relevanter te maken voor de behoeften van zijn of haar organisatie, maar wordt vaak overstemd door de leverancier. Waarom? Vanuit het perspectief van de leverancier kan een CISO onmogelijk zonder het product of de dienst van de leverancier. Wat in de meeste verkoopgesprekken ontbreekt, is waardering voor wat er werkelijk speelt bij een CISO.
Leveranciers moeten hun verhaal altijd richten op hoe ze CISOs kunnen helpen. Ze moeten beginnen met het besef dat CISOs en hun behoeften niet allemaal hetzelfde zijn. Wat een CISO nodig heeft, wordt direct en volledig bepaald door de uitdagingen waarmee ze worden geconfronteerd, hoe goed ze die uitdagingen aangaan en wat ze willen bereiken.
Elke CISO heeft een eigen taalgebruik. Een leverancier moet luisteren naar de taal die een CISO gebruikt en leren die te spreken.
De zelfstandige naamwoorden in de taal van een CISO zijn de technologieën en processen die ze hebben geïmplementeerd of overwegen als onderdeel van hun cyberbeveiligingsstrategie. De werkwoorden zijn de acties die ze hebben ondernomen of van plan zijn te nemen om geïdentificeerde beveiligingsgaten te dichten, bestaande processen te verbeteren of nieuwe toe te voegen, en de zorgen die ze hebben over de risico’s die ze niet kunnen aanpakken. Laat je fantasie de bijvoeglijke naamwoorden en bijwoorden invullen, maar weet dit: CISOs kunnen kleurrijk zijn, vooral als ze gestrest zijn en interacties met leveranciers voor extra stress zorgen.
Luister, en je zult een CISO horen spreken vanuit ervaring. Is dit hun eerste keer, of hebben ze al vaker met het bijltje gehakt? Hoe lang zijn ze al in hun huidige functie? Hoe lang zijn ze van plan deze te blijven doen? Antwoorden op deze vragen helpen een leverancier letterlijk te begrijpen waar een CISO vandaan komt en waar hij of zij naartoe wil.
Als een CISO onlangs bij een organisatie is gestart, is hij of zij waarschijnlijk bezig met het aanpakken van urgente en directe uitdagingen, zelfs terwijl er een nieuwe strategie wordt ontwikkeld. Delen van het cyberbeveiligingsprogramma zijn waarschijnlijk in beweging. Dit is misschien niet het moment om nieuwe, op zichzelf staande oplossingen aan te bieden, maar eerder om geconsolideerde oplossingen te presenteren die voorheen gescheiden mogelijkheden combineren en het werk van de CISO iets eenvoudiger maken. Voor een nieuwe CISO geldt vaak: minder is meer. Minder kritieke leveranciers betekent over het algemeen eenvoudiger beheer van interacties met de markt.
Het is ook belangrijk om te weten in welke sector de CISO actief is. Een CISO in de defensie-industrie heeft bijvoorbeeld heel andere prioriteiten, en meer daarvan, dan een CISO in een andere sector. Als de organisatie wereldwijd opereert, zal de focus van de CISO anders zijn dan wanneer de activiteiten zich beperken tot de VS. Alleen al wereldwijde privacyregels kunnen het programma en het perspectief van een CISO aanzienlijk beïnvloeden; privacykwesties kunnen zelfs concurreren met beveiligingsprioriteiten.
Leveranciers moeten ook weten of de organisatie moet voldoen aan wettelijke kaders. Privacy is waarschijnlijk één kader, maar er kunnen er meer zijn, afhankelijk van het type organisatie en de sector waarin deze opereert. Sommige regels beïnvloeden bijvoorbeeld hoe CISOs hun cyberbeveiligingsprogramma uitvoeren, waarop ze zich richten en wat ze op de lange baan schuiven. Net als budgetten worden CISOs geleid door hun ‘musts’. Dit zijn geen CSF-praktijken, maar rode lijnen die niet overschreden mogen worden.
De meeste CISOs kiezen een cyberbeveiligingsraamwerk om hun programma op af te stemmen, omdat raamwerken ervoor zorgen dat alle basisvoorwaarden voor een succesvol en praktisch programma zijn afgedekt. De meest populaire raamwerken zijn NIST CSF en ISO. Voor leveranciers is het misschien niet relevant om te weten welk raamwerk een CISO volgt, maar het is wel belangrijk om te begrijpen waar de organisatie zich bevindt op de route naar raamwerkafstemming; weten of een organisatie momenteel de nadruk legt op identify, protect of detect kan helpen om gesprekken met de CISO direct te sturen naar onderwerpen met toegevoegde waarde en specifieke oplossingen.
Ook de omvang van de cyberbeveiligingsorganisatie van een CISO kan van belang zijn. De meeste CISOs hebben geen onbeperkt OpEx-budget, wat betekent dat hun programma’s niet over onbeperkt personeel beschikken. Begrijpen waar een CISO het merendeel van zijn mensen inzet, kan verduidelijken wat belangrijk is voor de organisatie. Het kan ook erg nuttig zijn voor een leverancier om te weten welke delen van een cyberbeveiligingsprogramma zijn uitbesteed aan derden. Gaat het bij die uitbestede rollen alleen om projectmatige functies, of zijn het reguliere taken binnen de normale bedrijfsvoering?
Het is altijd cruciaal voor leveranciers om te weten of er recent cyberbeveiligingsbeoordelingen zijn uitgevoerd en wat de conclusies daarvan waren met betrekking tot de staat van de controles. Het identificeren van beveiligingsgaten is altijd de eerste stap om die te dichten. Het negeren van duidelijke beveiligingsgaten ten gunste van een nieuw project voor inspanning en investering is geen optie voor CISOs die eerst de basis willen aanpakken en oplossen.
Beoordelingsresultaten zijn ook indicatoren van het huidige volwassenheidsniveau van een organisatie, maar deze gegevens kunnen misleidend zijn. Weten wat het volwassenheidsniveau is van de cyberbeveiligingsfuncties van een organisatie is vooral nuttig in relatie tot de eigen volwassenheidsdoelen van de organisatie. Als het huidige volwassenheidsniveau van een organisatie overeenkomt met een genormaliseerd gemiddelde van ‘3’, is dat dan goed of slecht? Welke onderdelen van het programma scoren lager of hoger? En vooral: wat zijn de eigen doelen van de organisatie? Heeft de CISO bepaald dat voor sommige controles ‘3’ voldoende is? Het antwoord weten is essentieel voor elke leverancier die een CISO wil ondersteunen.
Tot slot zijn NDA’s uitstekende instrumenten om een open gesprek tussen de CISO en de leverancier te faciliteren. Een CISO wil niet gevraagd worden: “Heeft u een cyberincident gehad?” net zo min als een leverancier wil horen: “Is uw product of dienst ooit gefaald?” CISOs kijken liever vooruit dan achterom. We verzamelen geleerde lessen, repareren wat we kunnen en hopen morgen weer verder te kunnen.
Samenwerken met een CISO betekent luisteren. Denk aan bijna elke leeractiviteit: we horen, we nemen op, we onthouden en we reageren. Dat is de manier om met een CISO samen te werken en te bieden wat ze nodig hebben. Leer waar ze zich bevinden op hun cyberbeveiligingsreis, en waar ze naartoe willen. Denk na over hoe een nieuwe oplossing die reis kan ondersteunen. Sla dit op in je GPS, want het vertegenwoordigt de coördinaten van het ware noorden van de CISO. En reageer dan pas met suggesties die de reis beter definiëren, makkelijker maken om te navigeren en veiliger om te doorlopen.
Ja, CISOs zullen altijd nieuwe technologische producten en diensten nodig hebben. Naarmate het cyberrisico toeneemt, moeten oplossingen zich blijven ontwikkelen. Bereid je voor om ze aan te bieden. Maar onthoud: eerst moeten CISOs gehoord worden.
Veelgestelde vragen
Risicobeheer cyberbeveiliging is een strategische aanpak die organisaties gebruiken om potentiële bedreigingen voor hun digitale bezittingen te identificeren, beoordelen en prioriteren, zoals hardware, systemen, klantgegevens en intellectueel eigendom. Het omvat het uitvoeren van een risicobeoordeling om de belangrijkste bedreigingen te identificeren en een plan op te stellen om deze aan te pakken, wat preventieve maatregelen kan omvatten zoals firewalls en antivirussoftware. Dit proces vereist ook regelmatige monitoring en updates om rekening te houden met nieuwe bedreigingen en organisatorische veranderingen. Het uiteindelijke doel van Risicobeheer cyberbeveiliging is het beschermen van de informatie-assets, reputatie en juridische positie van de organisatie, waardoor het een cruciaal onderdeel is van de algehele risicobeheerstrategie van elke organisatie.
De belangrijkste onderdelen van een Risicobeheer cyberbeveiliging-programma zijn risico-identificatie, risicobeoordeling, risicobeperking en continue monitoring. Het omvat ook het ontwikkelen van een cyberbeveiligingsbeleid, het implementeren van beveiligingsmaatregelen en het uitvoeren van regelmatige audits en beoordelingen.
Organisaties kunnen cyberbeveiligingsrisico’s beperken via diverse strategieën. Denk aan het implementeren van sterke toegangscontroles zoals robuuste wachtwoorden en multi-factor authentication, het regelmatig updaten en patchen van systemen om bekende kwetsbaarheden te verhelpen, en het trainen van medewerkers om potentiële bedreigingen te herkennen. Het gebruik van beveiligingssoftware zoals antivirus- en anti-malwareprogramma’s kan helpen bedreigingen te detecteren en te elimineren, terwijl regelmatige gegevensback-ups schade door datalekken of ransomware-aanvallen kunnen beperken. Het hebben van een incident response plan kan schade tijdens een cyberincident minimaliseren, en regelmatige risicobeoordelingen kunnen potentiële kwetsbaarheden identificeren en aanpakken. Tot slot kan naleving van industriestandaarden en regelgeving, zoals de Cybersecurity Maturity Model Certification (CMMC) en National Institute of Standards and Technology (NIST)-normen, organisaties verder helpen bij het beperken van cyberbeveiligingsrisico’s.
Een risicobeoordeling is een cruciaal onderdeel van Risicobeheer cyberbeveiliging. Het omvat het identificeren van potentiële bedreigingen en kwetsbaarheden, het beoordelen van de potentiële impact en waarschijnlijkheid van deze risico’s, en het prioriteren ervan op basis van hun ernst. Dit helpt bij het ontwikkelen van effectieve strategieën om deze risico’s te beperken.
Continue monitoring is een essentieel onderdeel van Risicobeheer cyberbeveiliging en biedt realtime observatie en analyse van systeemcomponenten om beveiligingsafwijkingen te detecteren. Dit maakt directe dreigingsdetectie en respons mogelijk, waardoor schade kan worden voorkomen of beperkt. Het zorgt ook voor naleving van cyberbeveiligingsnormen en regelgeving, zodat organisaties snel eventuele non-conformiteiten kunnen aanpakken. Door systeemprestaties te volgen, helpt continue monitoring bij het identificeren van potentiële kwetsbaarheden, terwijl de verzamelde data besluitvormingsprocessen ondersteunt over resource-allocatie, risicobeheerstrategieën en beveiligingsmaatregelen.