Cyberbeveiligingskwesties onder de aandacht brengen van gemeenteraden en CISO’s in de taal van gemeenteraden
CISO’s oefenen steeds meer invloed uit binnen het management, met een grotere betrokkenheid op directieniveau en een directere band met CEO’s.
82% van de CISO’s rapporteert rechtstreeks aan de CEO, vergeleken met slechts 47% in 2023, wat hun steeds centralere rol weerspiegelt. Bovendien woont 83% van de CISO’s regelmatig bestuursvergaderingen bij.
Voor Splunk, de bron van deze ordes van grootte, is deze toegenomen betrokkenheid een positief teken dat er op het hoogste niveau van organisaties rekening wordt gehouden met beveiligingskwesties. Ondanks deze ontwikkeling is het echter belangrijk op te merken dat slechts 29% van de raden van bestuur ten minste één lid heeft met expertise op het gebied van cyberbeveiliging. Dit gebrek aan evenwicht kan van invloed zijn op het begrip van de problemen en op de besluitvorming.
Een cultuur van veiligheid bevorderen
Toenadering zoeken, prioriteiten afstemmen en elkaar beter begrijpen om de digitale weerbaarheid te versterken is natuurlijk positief,” zegt Michael Fanning, CISO, Splunk. Maar dat is niet alles, het is duidelijk niet genoeg.” Voor beveiligingsprofessionals betekent dit dat ze de business van hun organisatie buiten hun IT-omgeving moeten begrijpen en nieuwe manieren moeten vinden om de ROI van beveiligingsinitiatieven te communiceren naar hun directies.
Leden van de raad van bestuur zullen zich op hun beurt moeten inzetten voor het bevorderen van een beveiligingsgerichte cultuur en eerst en vooral de CISO moeten raadplegen bij het nemen van beslissingen die van invloed zijn op governance en bedrijfsrisico’s. “Om deze toenadering tot stand te brengen, moeten raden van bestuur bewust worden gemaakt van de uitdagingen van cyberbeveiliging en moeten CISO’s bewust worden gemaakt van de taal van de raad van bestuur en de behoeften van het bedrijf, terwijl beveiliging als katalysator wordt gepresenteerd.
De gevolgen van het afstemmen van prioriteiten tussen CISO’s en het bestuur
Bestuursleden beoordeelden de werkrelatie tussen CISO’s en het bestuur als zeer goed of uitstekend op gebieden als afstemming op strategische beveiligingsdoelstellingen (80% voor besturen met een CISO tegenover 27% voor besturen zonder CISO); communicatie over de voortgang van beveiligingsinitiatieven (60% voor besturen met een CISO tegenover 16% voor besturen zonder CISO) en zorgen voor voldoende budget om beveiligingsdoelstellingen te halen (50% voor besturen met een CISO tegenover 24% voor besturen zonder CISO).
CISO’s met goede relaties met andere bestuursleden rapporteren ook bijzonder sterke samenwerkingsverbanden met IT-operations (82% versus 69% van andere CISO’s) en engineering (74% versus 63%). Ze zijn ook meer geneigd om toepassingen van generatieve AI te verkennen, waaronder het maken van regels voor het opsporen van bedreigingen (43% versus 31% van de andere CISO’s), het analyseren van gegevensbronnen (45% versus 28%), het reageren op en onderzoeken van incidenten (42% versus 29%) en het proactief zoeken naar bedreigingen (46% versus 28%).
Verschillen in prioriteiten blijven
Ondanks de aanzienlijke vooruitgang op het gebied van afstemming, wijst het onderzoek op uiteenlopende prioriteiten tussen CISO’s en leden van de raad van bestuur. Er werden aanzienlijke verschillen waargenomen, met name op het gebied van innovatie via opkomende technologieën, de ontwikkeling van beveiligingsmedewerkers en de bijdrage aan initiatieven voor inkomstengroei. Deze verschillen onderstrepen de noodzaak van een voortdurende dialoog om prioriteiten op elkaar af te stemmen en blokkades in de beveiligingsstrategie te voorkomen.
Een ander spanningsveld is de perceptie van compliance en budgetten. Slechts 15% van de CISO’s beschouwt compliance als een belangrijke prestatie-indicator, vergeleken met 45% van de bestuursleden. Bovendien geeft 21% van de CISO’s toe onder druk te zijn gezet om complianceproblemen niet te melden, een zorgwekkende bevinding. Cyberbeveiligingsbudgetten zijn ook een bron van spanning. Slechts 29% van de CISO’s vindt dat hun budget is aangepast aan hun behoeften, terwijl 41% van de bestuursleden denkt dat het toereikend is.
