Ga het gesprek over beveiliging aan met uw bestuur
Het is essentieel om dezelfde taal als uw hoogste leidinggevenden te spreken wanneer u budget en steun voor beveiligingsinvesteringen probeert te verkrijgen.
Als u een beveiligingsprofessional bent maakt u zich waarschijnlijk meer zorgen over de operationele kant van beveiliging. Corporate leidinggevenden zien beveiliging daarentegen eerder als elke andere investering. Zij kijken of de voordelen van hierin investeren opwegen tegen de risico’s van het niet investeren. Zij beoordelen ook de effecten op de lange termijn op de bedrijfsprestaties en nemen bovenal beslissingen gebaseerd op gegevens en bewijzen.
Als uw bedrijf een grote cyberaanval te verduren heeft gekregen, zullen uw leidinggevenden eerder ervaring uit de eerste hand hebben met de financiële verliezen die hiermee gepaard gaan. U zult, als u een van de gelukkigen bent die nog niet in het nieuws kwam na een inbreuk, mogelijk bij uw directie moeten aantonen waarom zij beveiliging prioriteit moeten geven voordat het ergste gebeurt.
We hebben hier een aantal tips verzameld van CISO’s over de manier waarop zij overtuigende gegevens aan hun leidinggevenden presenteren om zo hun budget veilig te stellen:
Praat met de directie over naleving van de GDPR
De General Data Protection Regulation (GDPR) is nu een actueel onderwerp, dat hoogstwaarschijnlijk ook de aandacht heeft van uw hoogste leidinggevenden. Doe er uw voordeel mee. Waarschijnlijk zijn ze al op de hoogte van de potentiële boetes, zodat u direct kunt ingaan op de betekenis van de GDPR voor uw organisatie en uw gegevens. Er is veel verwarring rond de GDPR. Help hen dus de implicaties voor uw bedrijf te begrijpen en de investering die u nodig hebt om de gegevensprivacy en -beveiliging te verbeteren.
Presenteer de specifieke risicofactoren voor uw bedrijf
Help uw leidinggevenden te begrijpen welke beveiligingsbedreigingen uw specifieke organisatie kunnen schaden. Besteed niet te veel tijd aan het presenteren van algemene trends en statistieken. Help hen in plaats daarvan de verbinding te zien tussen die beveiligingstrends en de uitdagingen die specifiek van toepassing zijn op uw bedrijf en branche. Hoe meer context u kunt geven, hoe relevanter het voor uw directie zal zijn.
U kunt het bijvoorbeeld hebben over de grootste bron van inkomsten van uw bedrijf en voorbeelden geven van de manier waarop beveiligingsbedreigingen zoals ransomware die in gevaar brengen. Als uw bedrijf gevoelige gegevens zoals financiële gegevensrecords bewaart, kunt u voorbeelden laten zien van de juridische gevolgen en boetes voor uw bedrijf als dergelijke gegevens openbaar worden gemaakt.
Laat hen zien hoe een aanval werkt, hoe eenvoudig het kan zijn de beveiliging in gevaar te brengen. Geef ze echte voorbeelden van de kwesties waar u al meet te maken hebt, naast de risico’s en mogelijk effecten op de lange termijn van dergelijke problemen.
Kwantificeer alles
Leidinggevenden houden van meetcriteria en cijfers. Daarom is het belangrijk dat u uw beveiligingsprioriteiten op een lijn stelt met de doeleinden en deadlines van uw bedrijf. Bevestig hun zakelijke en IT-prioriteiten en laat zien hoe beveiliging kan helpen deze te bereiken.
Geef ook de keerzijde weer: hoe een beveiligingsincident een risico kan vormen voor hun plannen. Bijvoorbeeld: als u op het punt staat een nieuw product uit te brengen, wat is de potentiële schade voor uw bedrijf als dat intellectuele eigendom openbaar wordt gemaakt of vernietigd?
Het hoeft in feite geen hypothetische kwestie te zijn. Het is een nog beter argument als u kunt kwantificeren wat bestaande beveiligingsproblemen het bedrijf al kosten.
Herhaal, herhaal, herhaal
Het is onwaarschijnlijk dat een enkele bespreking u alles geeft wat u nodig hebt. Maak uw communicatie eenvoudig en frequent. Praat regelmatig bij en rapporteer vaak op relevante meetcriteria. Wees niet bang in herhaling te vallen en probeer verschillende invalshoeken tot de boodschap overkomt en u de fondsen en steun krijgt die u nodig hebt.
Tags:
