Development

Security
KPMG Dennis van Ham

Waarom de ‘CISO nieuwe stijl’ moet uitblinken in… storytelling

Eerst het goede nieuws. KPMG nam voor het derde opeenvolgende jaar de jaarverslagen onder de loep van ondernemingen uit de AEX en Midkap. Wat blijkt?

Eerst het goede nieuws. KPMG nam voor het derde opeenvolgende jaar de jaarverslagen onder de loep van ondernemingen uit de AEX en Midkap. Wat blijkt?

Liefst acht op de tien bedrijven heeft Cyber security in het verslag opgenomen. Een jaar eerder was dat nog maar zes op de tien. Dan het slechte nieuws: een groot deel van de verslaggeving is onder de maat. Echt duiding geven aan de bedreigingen, de risico’s, de maatregelen doen de ondernemingen niet. Hoe komt dat?

Iedereen is zich zo zoetjes aan wel bewust van de risico’s, de Cyber risks. Dat hackers een bedrijf kunnen gijzelen, dat klanten en partners in contracten hogere eisen stellen aan Cyber security, dat autoriteiten steeds verdergaande maatregelen verlangen om privacy te beschermen en om Cyber risks te minimaliseren; het is allemaal bekend. Onder de motorkap zijn bedrijven heus druk bezig om orde op zaken te stellen. Maar, zoals altijd, begint echte, duurzame verandering aan de top en op C-level gaat er iets mis.

‘In plaats van pleisters plakken is het zaak om te zorgen voor serieuze verankering van Cyber risicomanagement’

In de eerste plaats zien boards het in kaart brengen van Cyber risks veelal nog teveel als een eenmalig iets, wat ook nog eens vooral een taak is voor de IT-afdeling. Ze trekken een blik consultants open, zetten met hun hulp een programma op en klaar. Maar Cyber security is géén eenmalige opstap, het is een continue innovatie. De bad guys staan per slot van rekening ook niet stil. Als we iets zeker weten dan is het wel dat steeds meer organisaties digitaal gaan en dat daarmee de Cyber risks toenemen. Cyber security doet wat belang betreft dan ook niet onder voor juridische zaken, personeelszaken, commerciële zaken of andere core capabilities. In plaats van pleisters plakken is het zaak om te zorgen voor serieuze verankering van cyber security, om te beginnen aan de top.

Hardere tone at the top

In de tweede plaats gaat de interesse vanuit de board niet ver genoeg. Ik kan me goed voorstellen dat bestuurders en toezichthouders helemaal gek worden van mensen zoals ik, die hameren op verdere detaillering van Cyber risico’s door een gedegen inventarisatie van de belangrijkste assets (de kroonjuwelen). Toch is het echt nodig om de risico’s in kaart te laten brengen en te bespreken in de boardroom, te kijken hoe Cyber security geborgd is in producten en diensten, dat er geregeld geoefend wordt, er end-to-end stresstesten plaatsvinden. Cyber risk is een bedrijfsrisico, dus is het ook zaak er zo naar te handelen. De tone at the top, kortom, mag een stuk harder.

Aan de basis van die foute inschattingen staat de psychologie in de boardroom. Te vaak ontbreekt in de board de kennis om risico’s op waarde te schatten, de juiste urgentie te geven, een adequaat budget toe te kennen. Te vaak durven bestuurders niet toe te geven dat hun kennis tekortschiet en kijken de boardmembers elkaar aan als het gaat om Cyber security. ‘Dat hoort toch bij de CIO CRO CFO CISO? ’ In werkelijkheid heeft iedereen een rol als het gaat om Cyber security

Er is een lakmoesproef om te weten te komen of je als board op de goede weg bent

Hoe weet je nu of je op de goede weg bent als board? Iedereen heeft een rol, maar de sleutelspeler in Cyber security is de (Chief) Information Security Officer. Degene dus die nu meestal nog onder de Chief Risk Officer of Chief Information Officer valt, maar  - let op - over drie tot vijf jaar op gelijke voet met hen staat. Uit eigen ervaring kan ik zeggen dat dit al mondjesmaat gebeurt in de Verenigde Staten. Deze ‘nieuwe stijl CISO’ heeft als belangrijkste taak om op genuanceerde wijze de Cyber risks over te brengen naar de board. De lakmoesproef: laat de CISO een presentatie geven aan de board. Als hij of zij de board niet kan overtuigen van bestaande en op handen zijnde risico’s en genomen maatregelen dan heb je de verkeerde CISO.

De ‘CISO nieuwe stijl’ moet vooral een goede storyteller zijn en de overtuigingskracht hebben om de psychologie in de boardroom te doorbreken. Cyber security draait niet meer om kennis van IT, maar vooral om het overtuigend delen van inzichten in Cyber risico’s en hoe deze te bestrijden.

 

Dennis van Ham
Director
KPMG Cyber

vanHam.Dennis@kpmg.nl
+31 6 83646787
https://nl.linkedin.com/in/dennis-van-ham-406132
@dennisvanham

Reactie toevoegen