Cyberbeveiliging topprioriteit maken voor directies en CFO's

Schrijver:

Door Mark Hughes, DXC Technology

Als leidinggevende verantwoordelijk voor het leveren van beveiligingsoplossingen aan onze wereldwijde klanten, zie ik cyberbeveiliging steeds hoger op de agenda van directies komen. In een tijd waarin de meeste budgetten krimpen, zullen de wereldwijde uitgaven aan beveiliging naar verwachting jaarlijks met 8,1% stijgen en tegen 2024 zal dit naar verwachting 174,7 miljard dollar bedragen, volgens IDC.

Daar is een goede reden voor. Grote gegevensinbreuken en verlammende ransomwareaanvallen kunnen net zo erg zijn als natuurrampen – vaak brengen ze bedrijven tot stilstand en brengen ze schade toe aan het merk, de klantrelatie, de relaties met partners en nog veel meer. Ik vind het schokkend, maar de geraamde kosten van cybercriminaliteit – naar schatting 6 biljoen dollar in 2021 – vertegenwoordigen "de grootste overdracht van economische rijkdom in de geschiedenis", aldus Cybersecurity Ventures.

Als directies en CFO's in 2020 iets hebben geleerd, dan is het om het onverwachte te verwachten. Maar om echt effectief te zijn, moeten ze de risico's volledig begrijpen en cyberbeveiliging als fundamenteel beschouwen voor bijna alles wat een organisatie doet – te beginnen bij de top.

Niet alleen een IT-probleem

Het is belangrijk om op te merken dat beveiliging niet meer alleen gaat over patches en het beschermen van IT-systemen. We weten dat dit veel meer geïntegreerd is in het operationele landschap.

Toen ransomware afgelopen juni de interne netwerken van een internationale fabrikant blokkeerde, was het bedrijf genoodzaakt de productiefaciliteiten, klantenservice en financiële dienstverlening tijdelijk stil te leggen.

Een andere trend die ik zie, is de steeds bredere waaier van risico's waarmee grote ondernemingen geconfronteerd worden. Diverse sociaal-technische factoren, zoals regelgeving, sociale en politieke veranderingen en cultuur, beïnvloeden het bedreigingslandschap.

Beleid dat slecht gecommuniceerd wordt door het management kan leiden tot bedreigingen van binnenuit en het vrijkomen van gevoelige gegevens. De introductie van een nieuw bestuursbeleid, fusie- en overnameactiviteiten of een associatie met een leverancier kan onbedoeld een hackersgroepering ertoe aanzetten een bedrijfswebsite te beschadigen, socialmedia-accounts te kapen of diensten plat te leggen door middel van een gedistribueerde denial-of-service-aanval. Lakse dataprivacyprogramma's kunnen in sommige regio's tot enorme boetes leiden, maar in andere slechts tot een tik op de vingers.

Hoewel de meeste directies de impact van beveiliging op het merk en het vertrouwen van de klant begrijpen – en CFO's maar al te goed op de hoogte zijn van de kosten – staan CISO's (Chief Information Security Officers) nog steeds voor de ontmoedigende taak om het voortdurend veranderende risicolandschap te communiceren.

Beveiliging hoger op de agenda

Ons team richt zich erop om deze leiders te helpen risico's te begrijpen in hun termen. Een aantal best practices kan uw organisatie helpen om van beveiliging een topprioriteit te maken.

Praat over risico en ROI, niet over bedreigingen en kwetsbaarheden. Tools voor beveiligingscontrole en informatie over bedreigingen kunnen een goed beeld schetsen van de toename van cyberaanvallen, maar ze kunnen geen antwoord geven op de basisvraag: "Hoe veilig zijn we?"

De directie heeft gegevens nodig om inzicht te krijgen in de kosten, betrouwbaarheid en risico's, maar CISO's moeten ook een holistisch beeld geven van de blootstelling aan risico's.

Een cyberbewuste cultuur begint aan de top. Met de toename van geavanceerdere spearphishing-aanvallen is het leidinggevende team kwetsbaarder dan ooit. CFO's denken in termen van kostenafwegingen van risicobeperking tegen de potentiële blootstelling, dus moeten CISO's de ROI helder communiceren: Wat is de potentiële impact op de aandelenkoers en de aandeelhouderswaarde? Wat zijn de potentiële kosten van een kwetsbaarheid ten opzichte van de kosten om deze te verhelpen?

Beveiligen tegen alle mogelijke bedreigingen kan kostenverhogend zijn en innovatie en groei zelfs in de weg staan. Beslissingen moeten samen worden genomen, waarbij de juiste balans moet worden gevonden tussen risicoprioriteiten en effectieve beveiligingsmaatregelen.

Zoek de beste beveiliging. De afgelopen jaren hebben hoge leidinggevenden zich geconcentreerd op manieren om hun directies te diversifiëren. Naast een scala aan achtergronden en perspectieven kunnen raden van bestuur ook profiteren van relevante vaardigheden op het gebied van bijvoorbeeld investeringsbeheer, informatietechnologie, personeelsmanagement en risicomanagement.

Er valt ook iets voor te zeggen om een deskundige op het gebied van cyberrisico's op te nemen in de directie, met name in vaak aangevallen sectoren als het bankwezen, de retail, de gezondheidszorg en nutsvoorzieningen. Een deskundige in de directie helpt om de veiligheid centraal te houden. Een bestuurslid met een achtergrond in beveiliging of ervaring met grote incidenten kan minder technisch onderlegde leden helpen de snel veranderende risico's te begrijpen.

Vertrouw niet alleen op een cyberverzekering. Cyberverzekeringen zijn een relatief nieuw instrument om risico's te beperken. Over het algemeen dekken ze aansprakelijkheid met betrekking tot datalekken, zoals schadevergoedingen, juridische kosten, meldingen aan klanten, het herstellen van gegevens en het repareren van computersystemen.

Deze polissen dekken echter niet altijd het verlies van waarde als gevolg van diefstal van intellectueel eigendom of de kosten van het upgraden van software en apparatuur om aanvallen te voorkomen.

CFO's en chief risk officers moeten de voordelen van cyberverzekeringen ten opzichte van zelfverzekeringsopties zorgvuldig beoordelen. In 2018 heeft de stad Atlanta $ 2,7 miljoen besteed om te herstellen van een cyberaanval in plaats van het losgeld van $ 50.000 te betalen. Het meeste geld ging naar het upgraden van verouderde systemen. Een cyberverzekering maakt het voor de CFO gemakkelijker om te besluiten het losgeld niet te betalen, maar het kan de reputatieschade niet beperken. Preventie, snel reageren en operationele weerbaarheid zijn nog steeds de beste verdediging.

Zorg voor flexibele beheerprocessen. Er duiken voortdurend nieuwe kwetsbaarheden op en aanvallers veranderen voortdurend van tactiek, dus hebben beveiligingsprogramma's flexibele beheerprocessen nodig om te kunnen reageren.

Organisaties moeten de beveiliging beheren volgens best practices en met veerkrachtige plannen, op dezelfde manier als kernsystemen noodherstelplannen en back-ups nodig hebben. Zoals bedrijven streven naar voortdurende verbetering van de bedrijfsvoering, klantenservice en andere belangrijke disciplines, mogen de directie en de CFO hetzelfde verwachten voor de beveiliging.

Het beheren van beveiligingsprogramma's en het afweren van aanvallers zal altijd een afweging zijn tussen kosten en risico's, maar omdat er zoveel op het spel staat, moeten beslissingen op het gebied van de beveiliging op een geïnformeerde, strategische en gezamenlijke manier worden genomen. Raden en CFO's vormen een integraal onderdeel van dat gesprek.

Blijf op de hoogte van de nieuwste risico's voor ondernemingen. Meld u aan voor het Security Threat Intelligence Report van DXC.

Over de auteur

Mark Hughes is senior vicepresident oplossingen en strategische partners bij DXC Technology, verantwoordelijk voor de wereldwijde organisatie en het aanbod van DXC op het vlak van beveiliging, inclusief cyberverdediging, beveiligde infrastructuur, digitale identiteit en gegevensbescherming. Voorheen was hij actief als chief executive bij BT Security.