directeur

‘Hoe vertel ik het de directie?’

IT-beveiliging wordt langzaam maar zeker een zaak voor het C-level management. IT-beveiligers moeten daardoor op een andere manier leren communiceren.

directeur © Pixabay
27 december 2016

IT-beveiliging wordt langzaam maar zeker een zaak voor het C-level management. IT-beveiligers moeten daardoor op een andere manier leren communiceren.

Het breed uitmeten van de vele hacks in de media en de nieuwe Europese privacyverordening Algemene Verordening Gegevensbescherming (AVG) lijken het hogere management binnen organisaties wakker te hebben geschud. Zij bemoeien zich nu meer met IT-beveiliging dan voorheen. Voor de dienstverleners in dit vakgebied betekent dit dat zij andere gesprekspartners treffen bij hun klanten. Kwamen ze tot voor kort vooral over de vloer bij de techneuten, nu zitten ze steeds vaker aan tafel bij de CIO, de CFO en zelfs de CEO. Dat leidt vaak tot Babylonische spraakverwarringen.  
Zo vraagt Aart van der Vlist, CIO bij UWV, zich al enige tijd af hoe hij ‘de geheimtaal van securityexperts in z’n moerstaal’ kan krijgen. Van der Vlist vindt de ‘techno-speak’ binnen IT al erg, “maar security-taal is hierin een speciale subcategorie. De onderliggende technologie van security is erg ingewikkeld. Bij Word of SAP kun je je als gebruiker nog iets voorstellen. Maar SSD of het TLS-protocol is iets dat al veel dieper in de technologie ligt. Dat is onbegrijpelijk voor anderen.”

Jip-en-janneketaal

Aart van der Vlist, CIO bij UWV, gelooft dat heel veel technospeak makkelijk in jip-en-janneketaal kan worden omgezet. Dat gaat zo:

Benoem de risico’s:
“Voor bol.com is het cruciaal dat de site altijd up is. Zij kennen de risico’s precies. Als je hen vertelt dat er 47 procent kans is dat ze geraakt worden door een aanval dan weten ze precies wat voor hen de schade daarvan is. Ze weten ook dat als die aanval drie weken duurt, ze failliet zijn. Of neem ransomware, om de ernst daarvan goed duidelijk te maken aan het management is het goed er concrete aantallen bij zetten. Zoals, er zijn 700 pc’s in het bedrijf die door ransomware kunnen worden getroffen. De kans dat er per week honderd worden geraakt is zo en zo groot en dat kost dan zo en zo veel aan losgeld, aan herstel en aan verloren omzet.”

Toon directe gevolgen:
“Als werk.nl van het UWV eruit ligt, leidt dat tot enorme pieken in het callverkeer; er gaan duizenden mensen bellen. Dat zijn de bedrijfsrisico’s. Die moet je duidelijk maken als je met het management spreekt.”

Geef een helder voorbeeld:
“Een DDoS-aanval kun je prima uitleggen: het is alsof je niet meer binnen kunt bij de groenteboer omdat er paar duizend man voor de deur staat."

Daardoor begrijpt het topmanagement beveiligers niet. Dat is gevaarlijk, vindt Van der Vlist, hij ziet de onveiligheid toenemen. “De impact van securityexperts is te laag ten opzichte van de kennis die zij hebben. De vraag is dus hoe die impact te vergroten. Een oplossing is dat zij hun expertise in jip-en-janneketaal aan het topmanagement leren uitleggen." Van der Vlist probeert zijn securityexperts blijvend te overtuigen van het belang daarvan. Een deel van hen gaat daarom naar schrijfcursussen. Daarnaast is er een communicatieteam dat voor de interne communicatie de technische taal vertaalt naar eenvoudig te begrijpen taal. “Ik haal ze af en toe ook binnen in mijn kamer want ik ben de CIO en moet het ook begrijpelijk uitleggen aan het management.”

Hebben zijn inspanningen effect? Het UWV besteedt al een substantiële hoeveelheid geld aan security, zegt Van der Vlist. “Het management van het UWV is zich goed bewust van de potentiële risico’s die we als organisatie lopen. Wij zitten op een enorme stapel persoonlijke data. Daar moeten we heel zuinig op zijn. Als ik kan uitleggen welke risico’s we lopen en in cijfers kan aangeven wat de gevolgen daarvan kunnen zijn, kan het management hier betere beslissingen over nemen.”

Hoe gaan de security-aanbieders in gesprek?

Jeremy van Doorn, director of network security bij VMware: “Het verschilt natuurlijk per bedrijf, maar we proberen ‘sell by fear’ te voorkomen. Al vallen we daar wel snel op terug als ze vragen naar reputatieschade. We proberen te laten zien dat het aanschaffen van extra securityproducten niet alleen voor betere bescherming zorgt, maar ook meerwaarde kan opleveren. Een verzekeraar bijvoorbeeld kan een hoger beschermingsniveau aanbieden tegen een hogere premie. Bij clouddiensten kunnen gebruikers vaak kiezen voor hogere investeringen met meer beveiliging, of kiezen voor uitbreiding van de eigen beveiliging.” 

Patrick Dalvinck, vicepresident Europa bij beveiliger Trend Micro, maakte bij een groot project mee dat de CISO van een grote softwareleverancier moeite had om uit te leggen waarom de klant extra geld moest uitgeven aan security. “Ik heb toen de CFO gevraagd om de financiële impact te schatten als een nieuwe klant vanuit hun nieuwe software een infectie zou oplopen waardoor die klant te maken kon krijgen met datalekken.”

Dalvinck stelde eenzelfde vraag aan de CIO van een zeer grote internationale uitgever. Een belangrijk bezit van deze uitgever zijn de algoritmes waarmee klanten heel efficiënt documenten kunnen vinden in zijn databases. “Ik vroeg hem wat de impact op het bedrijf zou zijn als een hacker die algoritmes te pakken zou krijgen en met behulp van ransomware zou gijzelen. Dat kwam dus neer op een groot deel van de omzet, zeg 70 miljoen euro per maand. Dat maakt het belang van investeringen in security wel snel duidelijk.” 

Incidenten vóór zijn

Gerwin Naber, partner bij PwC Nederland en daar verantwoordelijk voor de dienstverlening op het gebied van cybersecurity en privacy, benadrukt eveneens het belang van een betere ‘awareness’ rondom IT-security bij het management. Te vaak komt IT-security door een incident op de agenda. “Maar dan is het zaak van het incident direct een businesscase te maken. Een beveiligingsincident raakt het hart van de business. Bovenop de kosten die de onderneming moet maken om bijvoorbeeld systemen te herstellen, is er vaak reputatieschade. Bij beursgenoteerde bedrijven dalen vaak de koersen en bestellen klanten minder.”

De securityexperts binnen de organisatie moeten volgens Naber op zo’n moment opstaan en goed uitleggen wat de gevolgen zijn. Oplossingen in de vorm van bijvoorbeeld tools zijn dan niet genoeg. “Het moet aangeboden worden als een kant-en-klaar proces. Een bestuurder dient beslissingen te nemen; wanneer moet bijvoorbeeld een datalek gemeld worden? Daarvoor heeft hij informatie nodig en wij als beveiligers moeten die informatie beschikbaar voor hem maken. Dat moet uitmonden in een proces dat die informatie genereert. Dáár kan hij mee uit de voeten.”

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.