Goede cybersecurity stuit te vaak op kortetermijndenken

Die conclusie trekt Jean-Christophe Gaillard, oprichter en CEO van het Britse Corix uit vijftien jaar ervaring met managementadvies. Voor veel organisaties staat een cybersecuritystrategie gelijk aan een jaarlijkse pentest of een PowerPoint-presentatie voor de auditor. Dat is echt niet voldoende, stelt hij in een blog op CIO Watercooler. In tegenstelling tot wat in vele bestuurskamers wordt gedacht, berust een goede cybersecuritystrategie niet primair op technologie. Mensen en processen zijn de belangrijkste pijlers onder een succesvol beveiligingsbeleid. Door het verkeerde beeld is er onvoldoende aandacht voor het definiëren van duidelijke rollen en verantwoordelijkheden, waardoor de strategische inspanningen gedoemd zijn te mislukken.

De oorzaken voor een falende cybersecuritytransformatie liggen onder meer in de complexe, silo-overstijgende aard van cybersecurity en een zwakke algemene corporate governance binnen organisaties. Bovendien ligt de aandacht vaak op kortetermijnacties na incidenten in plaats van op een langetermijnstrategie.

Frustratie bij de CISO

Het nadenken over een langetermijnaanpak sneuvelt regelmatig als gevolg van veranderende businessprioriteiten en wisselingen in het leiderschap. Dat leidt tot frustratie bij de CISO omdat er onvoldoende strategische ondersteuning is om te komen tot een volwassen cybersecuritybeleid. Gaillard signaleert dat daardoor CISO’s vaak kort aanblijven en de ontwikkeling van een gedegen strategie verder achterop raakt. Alleen organisaties die bereid zijn voorbij kwartaalcijfers te kijken en cybersecurity zien als strategisch bedrijfsmiddel, zullen duurzame vooruitgang boeken, concludeert hij.