Een goede verantwoording vereist meer dan een aansprakelijkheidsverzekering
De grotere betrokkenheid van CISO’s bij strategische beslissingen van de raad van bestuur en de verbeterde juridische ondersteuning voor cyberbeveiligingsteams moeten worden heroverwogen. Het begrip verantwoordelijkheid moet worden herzien!
Onder toenemende druk zien CISO’s hun rol veranderen als gevolg van nieuwe regelgeving, steeds geavanceerdere cyberdreigingen en hogere operationele eisen. In twaalf maanden tijd hebben twee op de vijf organisaties (41%) de betrokkenheid van CISO’s bij strategische beslissingen in de directiekamer vergroot, volgens Fastly (1.800 invloedrijke IT-besluitvormers onderzocht). Een noodzaak! Want tegelijkertijd weet 46% van de bedrijven niet precies wie de eindverantwoordelijkheid draagt in het geval van een incident!
DORA, NIS2 en, aan de andere kant van de Atlantische Oceaan, de nieuwe regels van de SEC voor risicomanagement, strategie, bestuur en het bekendmaken van incidenten op het gebied van cyberbeveiliging door beursgenoteerde bedrijven hebben de verantwoordelijkheid van bedrijven in het geval van een datalek in de schijnwerpers gezet. Dit heeft geleid tot meer bezorgdheid over de verantwoordelijkheid van CISO’s. Om dit risico te verkleinen heeft 38% van de respondenten toegezegd dat ze “meer toezicht zullen houden op de openbaarmaking van beveiligingsdocumenten door regelgevende instanties”. Nog eens 38% heeft de juridische ondersteuning voor cyberbeveiligingsmedewerkers verbeterd, met name op het gebied van aansprakelijkheidsverzekeringen.
Duidelijkere, effectievere standaarden
“Hoewel het investeren in juridische bescherming een belangrijke stap is, gaat deze verandering vaak meer over het beschermen van organisaties tegen juridische risico’s dan over het stimuleren van zinvolle verantwoording om beveiligingspraktijken te verbeteren”, zegt Marshall Erwin, CISO bij Fastly. We moeten verder gaan, zegt hij. Adequate verantwoording betekent verder gaan dan aansprakelijkheidsverzekeringen en wijzigingen in informatie. “Voor zinvolle verandering moeten we verantwoording zien als een positieve drijfveer voor betere beveiliging. Om dit te bereiken hebben we duidelijkere en effectievere normen nodig van regelgevende en toezichthoudende instanties die onderscheid maken tussen onvermijdbare incidenten en vermijdbare incidenten die het gevolg zijn van echt slechte beveiligingspraktijken.“
Uit het onderzoek van Fastly blijkt ook dat slechts 36% van de bedrijven duidelijk gedefinieerde rollen en verantwoordelijkheden heeft binnen hun teams. Het onderzoek benadrukt een significante tekortkoming in de manier waarop organisaties verantwoordelijkheid internaliseren en wettelijke richtlijnen vertalen naar significante verbeteringen in de veiligheidshouding.
Verantwoording moet op managementniveau beginnen
Als het gaat om beveiligingsrisico’s, is de vraag die het bestuur zou moeten stellen: “Is het budget afgestemd op de risico’s die worden gerapporteerd door de CISO?”. Dit, vervolgt Marshall Erwin, is waar verantwoording moet beginnen: op directieniveau, met duidelijke communicatie en afstemming van middelen.
Deze verantwoordelijkheid ligt niet alleen bij één persoon, maar vereist duidelijke communicatie op alle niveaus van de organisatie. Het doel is om te begrijpen hoe en waarom cyberbeveiligingsrisico’s moeten worden beperkt en hoe de inspanningen moeten worden gecoördineerd om de blootstelling te beperken.
Betere standaarden creëren
Het rapport benadrukt de noodzaak voor de industrie om zich voor te bereiden op het volgende grote incident door sterkere verantwoordingskaders in te voeren die aanzetten tot concrete actie in plaats van alleen maar nalevingsmaatregelen.
In het licht van voortdurend veranderende regelgevingsnormen moeten organisaties erkennen dat de verantwoordelijkheid van de CISO geen bedreiging is, maar een kans om beveiligingsmaatregelen te consolideren en blijvende veranderingen binnen de organisatie te stimuleren.
