Van compliance tot crisis: de dubbelrol van de securityverantwoordelijke

Steeds meer securityeindverantwoordelijken voelen de druk van hun vak: bijna 40 procent vindt hun taak (heel erg) zwaar, blijkt uit onderzoek. Deze constante druk eist zijn tol: het securitywerkveld gaat gebukt onder burn-outs. Het zou kunnen helpen om eens goed te kijken naar waar vandaag de dag het zwaartepunt in de rol van securityverantwoordelijke ligt.

Regels naleven

Strenge securitywetgeving zoals de AVG, NIS2, ISO- en NEN-normen dwingt organisaties tot actie. Compliance vereist continue monitoring en bijsturing. Wat vandaag voldoet aan NIS2, kan over twee maanden achterhaald zijn door nieuwe samenwerkingen, veranderende processen of aangescherpte regels.

Zonder stevig beleid met procedures en controles is de organisatie kwetsbaar en wordt een crisissituatie eerder zekerheid dan uitzondering. Hier toezicht op houden, komt meestal op het bord van de securityverantwoordelijke. Als compliancemanager vervul je een minder zichtbare, maar cruciale rol. 

Maar compliance gaat verder dan beleid: mensen moeten het ook toepassen in hun werk. Dat maakt van de securityverantwoordelijke óók een verandermanager. Er is een verandering in gedrag, processen en systemen nodig om veilig te (blijven) werken. Alleen dan wordt compliance echt onderdeel van de bedrijfscultuur. 

(Preventief) brandjes blussen 

Tegenover compliance staat crisismanagement. Een essentiële en urgente rol voor wanneer het misgaat. En die kans wordt steeds groter. Steeds meer bedrijven krijgen te maken met securityincidenten, waarbij elke minuut telt.

Zelfs als er een crisismanager in de organisatie is, ligt de eerste reactie bij een incident vaak bij de securityverantwoordelijke. Deze moet stressbestendig zijn, snel kunnen beslissen en technische kennis hebben om de impact zoveel mogelijk te beperken.

Tegelijkertijd vraagt de rol méér dan alleen incidentresponse. Juist vanuit die ervaring is het duidelijk hoe belangrijk het is om vooraf te investeren in weerbaarheid. Dat maakt deze rol ook een strategisch gesprekspartner voor de directie.

Helaas is hier zonder duidelijke uitleg van de risico’s vaak weinig draagvlak voor. Het is daarom zaak zichtbaar te maken wat security oplevert, en niet alleen wat het kost. Hierdoor kunnen preventieve maatregelen kunt genomen worden. 

Oefening baart kunst 

De rol van crisismanager wordt steeds belangrijker voor securityverantwoordelijken. Niet alleen vanwege de verhoogde kans op cyberincidenten. Goed crisismanagement kan ook voor meer rust in het werkveld zorgen.

Kijk naar militairen: zij trainen continu op rampsituaties om voorbereid te zijn. In het bedrijfsleven doen we dit ook, bijvoorbeeld met brandoefeningen. Omdat duidelijk is wat er moet gebeuren, maakt niemand zich zorgen over hoe te handelen als er brand uitbreekt. Maar hoe vaak train je op een cyberincident? 

Bij veel organisaties blijft de voorbereiding op een cyberincident – gedreven door wet- en regelgeving – beperkt tot een incidentresponsplan dat in een la verdwijnt. Met een grotere kans op een cyberincident dan op brand, brengt dat een risico met zich mee. Daarom is het essentieel om ook securityincidenten actief te oefenen.

Hoe je dat precies doet? Dat kun je, afhankelijk van de risico’s voor jouw organisatie, zelf bepalen. Zo hoef je niet direct een groot incident te simuleren, zoals een hack die het hele bedrijf platlegt. Oefen juist ook de kleinere securityincidenten, zoals een gehackt account of een phishingaanval op een collega.

Groot of klein, het is belangrijk om net als bij een brandoefening jaarlijks één of meerdere securityoefeningen te doen. Dit verhoogt niet alleen de cyberweerbaarheid, maar geeft ook vertrouwen. Zowel jij als de rest van de organisatie weet beter hoe je moet handelen en wat ieders verantwoordelijkheden zijn wanneer het daadwerkelijk misgaat. 

Meer controle 

Het is dus een feit dat securityverantwoordelijke van vandaag meerdere petten moet dragen. In deze rol ben je crisismanager, compliancebewaker, verandermanager en strategisch adviseur tegelijk. Deze rollen zijn onlosmakelijk met elkaar verbonden: je moet schakelen tussen beleid en praktijk en overtuigen en uitvoeren.

Toch verschuift het zwaartepunt steeds vaker richting crisismanagement. Niet alleen omdat incidenten toenemen, maar omdat goede voorbereiding op een crisis de sleutel is tot rust. Hoe beter je deze rol traint en organiseert, hoe meer grip je krijgt en hoe minder stress je ervaart. Uiteindelijk geven goed getrainde securityverantwoordelijken zichzelf én de organisatie meer rust.