Hoe ontwikkelt beveiliging zich van bijzaak tot hoofdzaak? Hoe ontwikkelt beveiliging zich van bijzaak tot hoofdzaak?

Door Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

Lokale contactpersoon

EY Nederland Managing Partner Consulting, COO Consulting in Western-Europe

Energiek. Betrouwbaar. Servicegericht. Heeft een passie om klanten en collega’s verder te helpen.

4 minuten leestijd 18 feb. 2020

CISO's die streven naar een bedrijfscultuur waarin cybersecurity integraal onderdeel uitmaakt van de bedrijfsvoering, ook wel Security by Design genoemd en dat ook stimuleren, kunnen een sleutelrol spelen bij de transformatie van hun bedrijf.

Nu het aantal cyberdreigingen toeneemt, nemen veel organisaties een defensieve houding aan. Hierdoor missen ze een gouden kans om concurrentievoordeel te behalen door cybersecurity en privacy centraal te stellen in hun strategie.

CISO's die willen gaan voor Security by Design, zullen de commerciële uitdagingen moeten accepteren waarmee hun organisatie wordt geconfronteerd in deze disruptieve markt. Het betekent ook dat het hele bedrijf, vanaf bestuur tot aan de werkvloer, verantwoordelijkheid moet nemen voor cybersecurity.

Die verandering betekent een gedeelde verantwoordelijkheid: CISO's kunnen (en moeten) meer samenwerken met de rest van het bedrijf. Bestuur en management moeten zich inzetten voor een nauwere werkrelatie met hun collega's op het gebied van cybersecurity.

In de EY Global Information Security Survey van dit jaar kijken we naar de veranderende rol van de cybersecurity-functie vanuit drie perspectieven:

1. Systematische problemen bij de communicatie

Uit het rapport blijkt dat activistische aanvallers de op één na belangrijkste bron van wezenlijke of significante cybersecurity inbreuken zijn. De toename van activistische aanvallen laat zien dat de cybersecurity-functie een veel dieper inzicht in de zakelijke omgeving van de organisatie nodig heeft. CISO's die niet samenwerken met collega's door het hele bedrijf heen, zullen onvermijdelijk genegeerd of vergeten worden bij de introductie van producten of diensten die de organisatie blootstellen aan nieuwe bedreigingen.

De eerste uitkomsten van de komende EY Global Board Risk Survey geven aan dat 'technologische disruptie' de grootste strategische kans is voor organisaties. Het feit dat veel bedrijven die kans ook aangrijpen door technologische transformaties door te voeren, zorgt ervoor dat CISO's, het bestuur, executives en de rest van het bedrijf nog nauwer moeten samenwerken. Hierdoor kunnen ze cybersecurityoplossingen in een veel eerder stadium van nieuwe bedrijfsinitiatieven integreren. Dit is een vorm van Security by Design.

Een gebrek aan Security by Design

36%

van de ondervraagde organisaties geeft aan dat er vanaf de planningsfase van een nieuw bedrijfsinitiatief rekening wordt gehouden met cybersecurity.

  • Het aantal bedreigingen op het gebied van cybersecurity en privacy neemt steeds verder toe. Ongeveer 6 op de 10 organisaties (59%) heeft in de afgelopen 12 maanden te maken gehad met een significant cybersecurity incident. Uit de EY Global Board Risk Survey blijkt dat 48% van de ondervraagde besturen verwacht dat cyberaanvallen en datalekken de komende 12 maanden gevolgen zullen hebben voor hun bedrijf. Terugkijkend blijkt dat ongeveer een vijfde van de cybersecurity aanvallen (21%) afkomstig was van 'hacktivisten' (technisch onderlegde politieke en sociale activisten). Alleen georganiseerde criminele groepen waren verantwoordelijk voor meer aanvallen (23%).
  • Slechts 36% van de ondervraagde organisaties geeft aan dat er vanaf de planningsfase van een nieuw bedrijfsinitiatief rekening wordt gehouden met cybersecurity.
  • In veel gevallen worden de uitgaven voor cybersecurity gedreven door defensieve prioriteiten in plaats van innovatie en transformatie: 77% van de uitgaven voor nieuwe initiatieven werd besteed aan compliancerisico's in plaats van kansen.
  • Een op de vijf respondenten besteedt 5% of minder van het budget voor cybersecurity aan ondersteuning van nieuwe initiatieven.

2. Het vertrouwen vergroten door relaties te herzien

Met Security by Design als doel moeten CISO's en hun collega's overal in de organisatie (waaronder afdelingen als marketing, R&D en sales) veel nauwere relaties aangaan om het algemene besef van cybersecurity te versterken en Security by Design te verankeren. 

Meer samenwerking met andere afdelingen is een prioriteit, maar de cybersecurity-functie moet ook veel nauwere relaties aangaan met het bestuur, de directie en senior executives.

Tijd om relaties te herzien

59%

van de ondervraagde organisaties geeft aan dat de relatie tussen de cybersecurity-functie en de andere bedrijfsonderdelen op zijn best neutraal is. Wantrouwig of niet-bestaand worden echter ook genoemd.

     
  • Volgens 74% van de ondervraagde bedrijven is de relatie tussen de cybersecurity- en marketingfunctie en afdelingen op zijn best neutraal, maar vaak ook wantrouwig of niet-bestaand. 64% geeft aan dat dit ook het geval is bij het R&D-team en in 59% van de gevallen geldt het voor alle bedrijfsonderdelen. Cybersecurityteams scoren zelfs slecht wat betreft hun relatie met de financiële afdeling, terwijl dat juist de afdeling is die hun budgetten moet goedkeuren; 57% van de bedrijven geeft te kennen dat ze hier tekortschieten.
  • Ongeveer de helft van de respondenten (48%) zegt dat het bestuur nog geen volledig inzicht heeft in de risico's op het gebied van cybersecurity. Ondertussen geeft 43% van de ondervraagde bedrijven aan dat het bestuur de waarde en behoeften van het cybersecurityteam niet volledig begrijpt.
  • Uit de EY Global Board Risk Survey blijkt dat besturen onvoldoende vertrouwen hebben in de cybersecurity-functie van hun organisatie. De helft van hen zegt in het beste geval slechts in geringe mate op het team te vertrouwen.
  • Slechts 54% van de ondervraagde organisaties zet cybersecurity regelmatig op de bestuursagenda.
  • Zes op de tien organisaties geeft aan de effectiviteit van de uitgaven voor cybersecurity niet te kunnen kwantificeren voor het bestuur.
 

3. De CISO wordt de aanjager van transformatie

Met sterkere relaties op bedrijfs- en bestuursniveau, beter inzicht in de commerciële behoeften van de organisatie en het vermogen om te anticiperen op de ontwikkelende cyberdreigingen, kunnen CISO's een sleutelrol spelen in de transformatie van hun organisatie. 

Ze hebben een nieuwe manier van denken nodig, evenals nieuwe vaardigheden op gebieden zoals communicatie, onderhandelen en samenwerking. CISO's die nieuwe initiatieven niet direct afwijzen, maar de mogelijkheden onderzoeken, zullen degenen worden die veranderingen in gang zetten.

De cybersecurity-functie gezien als belemmering voor innovatie

7%

van de ondervraagde organisaties beschrijft cybersecurity als een factor die innovatie mogelijk maakt, maar de meeste kiezen voor beschrijvingen als 'gedreven door compliance' en 'niet bereid om risico's te nemen'.

  • Slechts 7% van de ondervraagde organisaties beschrijft cybersecurity als een factor die innovatie mogelijk maakt, maar de meeste respondenten kiezen voor beschrijvingen als 'gedreven door compliance' en 'niet bereid om risico's te nemen'.
  • Ongeveer de helft van de ondervraagde organisaties (48%) zegt dat risicovermindering de belangrijkste drijfveer voor nieuwe uitgaven is en 29% noemt hierbij compliancevereisten. Slechts 9% zet nieuwe uitgaven in voor nieuwe bedrijfsinitiatieven.
  • Zes op de tien organisaties heeft geen CISO met een rol op directieniveau.

 

De aanbevelingen van EY in het kort

De GISS van dit jaar laat duidelijk zien dat er op dit moment reële mogelijkheden liggen voor de cybersecurityfunctie. De CISO kan een centrale rol gaan spelen in bedrijfstransformatie en -innovatie. Hiervoor moeten bestuursraden, senior managementteams, CISO's en leiders door het hele bedrijf samenwerken om het volgende te realiseren:

  1. De cybersecurity-functie een sleutelrol geven om digitale transformatie mogelijk te maken. Betrek de cybersecurity-functie bij de planningsfase van elk nieuw initiatief. Hanteer een aanpak op basis van Security by Design om de risico's bij transformaties en het ontwerp van producten of diensten vanaf het begin in kaart te brengen (in plaats van achteraf).
  2. Vertrouwensrelaties opbouwen met elke afdeling van de organisatie. Analyseer belangrijke bedrijfsprocessen met cybersecurityteams om inzicht te krijgen in de mogelijke gevolgen van cyberrisico's en te begrijpen hoe het cybersecurityteam kan helpen de bedrijfsonderdelen te optimaliseren.
  3. Governancestructuren implementeren die doelgericht zijn. Ontwikkel een set KPI's die kunnen worden gebruikt om bestuur en management op de hoogte te stellen van de verschillende risico's.
  4. Het bestuur betrekken bij cybersecurity. Communiceer op een manier die aansluit bij het bestuur en denk aan een programma voor risicokwantificering om de cyberrisico's effectiever te communiceren.
  5. De effectiviteit van de cybersecurity-functie evalueren om de CISO nieuwe competenties te geven. Bepaal de sterke en zwakke punten van de cybersecurity-functie om te begrijpen waar de CISO behoefte aan heeft en hoe dat moet worden aangepakt.
  • Wat is Security by Design?

    Security by Design is een nieuwe benadering waarbij cybersecurity vanaf het begin bij elk initiatief wordt betrokken en niet wordt gezien als een bijzaak. Hierdoor kan een bedrijf op een verantwoorde manier innoveren. Het is een strategische en pragmatische benadering die in alle onderdelen van de organisatie werkt. Security by Design wordt gedurende de volledige looptijd van het initiatief toegepast om de beveiligingsrisico's continu te beheren en te beperken.

Local Perspective IconEen lokaal perspectief

In Nederland zien we een toenemende dreiging door cybersecurity incidenten. De afgelopen maanden zijn diverse incidenten in het nieuws geweest waarbij cybercriminelen zich verrijkt hebben ten koste van Nederlandse organisaties. Zo zijn de Universiteit Maastricht en Onderzoeksinstituut Wetsus in Leeuwarden slachtoffer geworden van een pishing aanval (buit:197.000 en onbekend) , is het Rijksmuseum Twenthe gehackt (buit: 2,66 miljoen) en maken cybercriminelen gretig gebruik van de algehele interesse in het coronavirus. Een toenemend aantal spamcampagnes en kwaadaardige activiteiten buit de uitbraak van het virus uit.

Het is van belang om naast de technologische aspecten veel aandacht te besteden aan de security awareness van medewerkers. Denk dan aan het voorkomen dat kwaadaardige e-mails worden geopend, dat op internetlinks wordt geklikt en dat voldoende sterke wachtwoorden worden gebruikt. Verder is inrichting van adequate monitoring en een regelmatige cybersecurity health check geen overbodige luxe.

 

Local contact

Guill van den Boom
EY Nederland Managing Partner Consulting, COO Consulting in Western-Europe

Samenvatting

Uit nieuw onderzoek van EY blijkt dat er sprake is van een kloof tussen de cybersecurity-functie en de rest van het bedrijf, tenzij het gaat om compliance. CISO's die deze kloof willen overbruggen, moeten hun waarde bewijzen op een manier die besturen en executives begrijpen. Daarnaast moet het bedrijf cybersecurity vanaf het begin en gedurende de hele looptijd van elk initiatief serieus nemen.

Over dit artikel

Door Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

Lokale contactpersoon

EY Nederland Managing Partner Consulting, COO Consulting in Western-Europe

Energiek. Betrouwbaar. Servicegericht. Heeft een passie om klanten en collega’s verder te helpen.