Det er avgjørende at du kan snakke samme språk som topplederne når det gjelder å oppnå budsjett og støtte for sikkerhetsinvesteringer.
Hvis du er en sikkerhetsekspert, er det mer sannsynlig at du vil bekymre deg om den operative siden av sikkerheten. På ledelsesnivå er man mer tilbøyelig til å se på sikkerhet akkurat som enhver annen investering. De vil vurdere om fordelene ved å investere ppveier risikoene ved ikke å investere. De vil også vurdere de langsiktige virkningene på selskapets ytelse og ta en beslutning basert på data og bevis, foran alt annet.
Hvis selskapet ditt har blitt utsatt for et større cyberangrep, er det mer sannsynlig at lederne dine vil ha førstehånds erfaring med de økonomiske tapene som følger med slike uheldige hendelser. Hvis du imidlertid er én av de heldige som ikke har stått i møte med offentlig oppmerksomhet etter et brudd, kan det være du må vise til styret hvorfor de bør prioritere sikkerhet før det verste skjer.
Her er noen tips vi har samlet inn fra CISO-er om hvordan de presenterer overbevisende data til lederne sine som bidrar til å sikre budsjettet:
Snakk til styret om GDPR-samsvar
Den generelle personvernforordningen (GDPR) er et hett tema akkurat nå, som sannsynligvis er på radaren til topplederne. Bruk det til din fordel. De er sannsynligvis allerede oppmerksom på de potensielle bøtene, så du kan gå rett på hva GDPR betyr for organisasjonen og dataene. GDPR er omgitt av mye forvirring, så hjelp dem til å forstå implikasjonene for selskapet og hvilke investeringer som trengs for å forbedre datapersonvernet og sikkerheten.
Presenter risikofaktorene som er spesifikke for deres selskap
Hjelp topplederne med å forstå sikkerhetstruslene som kan påvirke deres organisasjon spesielt. Bruk minst mulig tid på å presentere generelle trender og statistikker. Hjelp dem i stedet til å se forbindelsen mellom disse sikkerhetstrendene og utfordringene som er helt spesifikke for deres virksomhet og bransje. Jo mer kontekst du kan tilføre, desto mer relevant vil det være for styret.
Du kan for eksempel snakke med dem om selskapets største kilde til fortjenester og gi dem eksempler på hvordan sikkerhetstrusler, slik som ransomware, kan påvirke denne. Hvis selskapet oppbevarer sensitive data, slik som regnskaper, kan du vise eksempler på juridiske konsekvenser og bøter som organisasjonen kan ilegges hvis slike data frigis offentlig.
Vis dem hvordan et angrep fungerer, hvor enkelt det kan være å bryte gjennom sikkerheten. Gi dem virkelige eksempler på problemene dere allerede står overfor samt risikoene og de langsiktige virkningene som disse problemene kan få.
Kvantifiser alt
Toppledere liker mål og tall. Det er derfor viktig at du innretter sikkerhetsprioriteringene med selskapets mål og tidsfrister. Gi anerkjennelse til forretnings- og IT-prioriteringene deres og vis hvordan sikkerhet vil hjelpe dem med å nå disse.
Vis også den negative siden: Hvordan et sikkerhetsbrudd kan sette planene deres i fare. Hvis dere for eksempel er i ferd med å lansere et nytt produkt, hva er den potensielle skaden for bedriften hvis denne immaterielle eiendommen ble offentlig kjent eller ødelagt?
Det trenger ikke være et hypotetisk problem. Hvis du kan kvantifisere hvordan eksisterende sikkerhetsproblemer allerede koster bedriften, blir argumentet ditt enda bedre underbygget.
Gjenta, gjenta, gjenta
Det er usannsynlig at du vil få alt du trenger fra en engangssamtale. Formidle budskapet ditt på en enkel måte, og ofte. Etabler regelmessige oppdateringer og rapporter relevante mål ofte. Vær ikke redd for å gjenta deg selv og prøv ut nye vinkler til budskapet blir oppfattet da sikrer du de midlene og støtten du trenger.