Met een groeiend tekort aan cybersecurityspecialisten lijkt er een schone taak te zijn weggelegd voor de directies van organisaties. Uit internationaal onderzoek van Intel Security en het Amerikaanse Center for Strategic and International Studies (CSIS) blijkt echter dat het onderwerp ‘cybersecurity’ niet door elke directeur even serieus wordt genomen. Rondvraag onder de securityexperts van Computable laat ook een wisselend beeld zien. Hoe belangrijk is het dat cybersecurityvaardigheden op directieniveau worden benoemd en bepaald?

Fred Streefland, it-securitymanager bij LeaseWeb, kan deze vraag kort beantwoorden. ‘Niet, alleen moet de awareness wel voldoende aanwezig zijn op directieniveau.’ Rob van der Veer, principal consultant bij de Software Improvement Group (SIG), mist een beetje de cybersecurity-daadkracht op directieniveau. ‘Wat we nog teveel zien zijn directies die een zogenaamde ‘excuus-ciso’ (chief information security officer) installeren met onvoldoende mandaat en/of bagage om echt verschil te maken, behalve dan het zetten van de nodige vinkjes.’

Ingewikkeld en duur

Toch zijn niet alle Computable-experts pessimistisch. Lex Borger, consultant information security bij i-to-i vindt het belangrijk dat cybersecurity als onderwerp op directieniveau herkend wordt, ‘maar laat het alsjeblieft inhoudelijk evalueren door experts en laat je als directie goed voorlichten. Ik heb veel bestuurders gezien die te gemakkelijk het gebied van cybersecurity afdoen als te ingewikkeld en/of te duur, zonder zich van goed advies te laten voorzien.’

Jan van der Sluis, client security principal bij Hewlett Packard Enterprise, vergelijkt cybersecurity in de directie het liefste met een open deur. ‘Veel organisaties zijn nog op weg naar een adequaat beleid in deze. Dit is veelal nog onderdeel van het bedrijfsonderdeel ict en te weinig geïntegreerd met de bedrijfsvoering, terwijl het digitale en globale karakter steeds meer van zich laat spreken.’

Dat is ook de reden dat Ad Koolen, overheidscryptospecialist bij Compumatica, juist vindt dat cybersecurity top of mind moet zijn op directieniveau. ‘Dit is hoogst belangrijk omdat eigenlijk ieder bedrijf tegenwoordig een internetbedrijf is geworden. Het moet tot op directieniveau tussen de oren zitten dat internet nodig is om te overleven.’

Meer investeren in beveiliging

Dat is dan ook de reden dat Alex Schlager, managing director Nederland bij Verizon, ziet dat directies hun portemonnee aan het trekken zijn. ‘De niet aflatende stroom aanvallen en datalekken sporen directies aan om meer te investeren in beveiliging en de traditionele aanpak van cybersecuritymanagement kritisch tegen het licht te houden. Door het toenemende gebruik van onder meer mobiele oplossingen, big data en cloud, worden effectieve cybersecurityprogramma’s steeds complexer. Ze vragen meer ‘human capital’ dan er wereldwijd beschikbaar is en maken het onmogelijk voor enterprise-bedrijven om nog alleen te werken.’

Grote bedrijven kiezen volgens Schlager daardoor steeds vaker voor een hybride cybersecuritymodel. ‘Hierin wordt niet alleen gebruik gemaakt van een flexibele groep interne businessexperts met een sterke securityfocus, maar ook van managed security services. Denk daarbij bijvoorbeeld aan oplossingen voor identity management, beveiligingsanalyses en governance, risk & compliance (grc).’


Dit artikel is geschreven door Sander Hulsman en verscheen op Computable.nl.