Securityprofessional krijgt stem in boardroom

Organisaties worden steeds vaker en op steeds grotere schaal geconfronteerd met gegevensdiefstal en hacks. Uit onderzoek van IBM onder securityprofessionals en securitymanagers in 7 landen blijkt dat de verantwoordelijkheid over security verschuift van de werkvloer naar de boardroom. Bij een kwart van de organisaties bestaat inmiddels een nieuwe functie: de Chief Information Security Officer (CISO). Van de overige 75 procent heeft een derde nog onvoldoende budget en daadkracht voor een degelijk securitybeleid.

In bijna 25 procent van de organisaties heeft de CEO meer aandacht voor beveiligingsissues dan ooit. Deze organisaties hebben een sterk ontwikkeld securitybeleid en zijn goed voorbereid op externe bedreigingen. De CISO’s van deze organisaties streven naar een gecoördineerde aanpak van beveiligingsissues. Daarnaast hebben deze organisaties gemeen dat de verantwoordelijkheid over het security-budget gedeeld wordt tussen de CIO, de CEO en de CISO, er een risicobewuste cultuur bestaat, en vooruitgang gemeten wordt.

Gedeelde verantwoordelijkheid over budget
Bijna twee derde van de respondenten verwacht dat de security-budgetten in de komende twee jaar zullen stijgen. Bij het gros van de onderzochte organisaties ligt de verantwoordelijkheid voor het securitybudget nu nog exclusief bij de CIO. Maar organisaties met een sterk ontwikkeld securitybeleid en een goede voorbereiding op bedreigingen pakken security steeds strategischer aan. De kans is hier net zo groot dat security aangestuurd wordt door de CEO als door de CIO en er is bij deze organisaties vaker een CISO werkzaam. Van deze organisaties heeft 71 procent een budgetpost speciaal gewijd aan security. Bedrijven met een gebrek aan budget (27 procent) laten een onderontwikkeld securitybeleid zien, zijn slechter voorbereid op bedreigingen en pakken security issues vaker ad hoc en gefragmenteerd aan.

Jens Wymeersch, Leader IBM Security Systems Benelux: “ICT en veiligheid voor bestuurders moeten minstens zo belangrijk zijn als goed financieel management. De best presterende organisaties in ons onderzoek laten zien dat een strategische aanpak van security in de boardroom van cruciale waarde is.”

Een risicobewuste cultuur
Met de komst van de CISO is security geen ad hoc onderwerp meer, maar komt het vaker ter sprake tijdens vergaderingen in de boardroom en is het onderdeel van de bedrijfscultuur. Hierdoor ontstaat er een sterke focus op organisatiebrede scholing, samenwerking en communicatie van security gerelateerde onderwerpen. CISO’s zijn geïntegreerd in de gehele organisatie, waardoor hun stem niet alleen op strategisch niveau weerklank krijgt, maar ze ook directe invloed kunnen uitoefenen op beslissingen over producten en diensten.

Meetbaarheid
Ook zetten CISO’s twee keer zo vaak meetinstrumenten in om hun vooruitgang bij te houden. Wanneer ze werken aan een risicobewuste cultuur monitoren CISO’s hoe het risicobewustzijn binnen de organisatie vorm krijgt en monitoren ze het verloop van educatieprogramma’s.

Daarnaast meten ze de integratie van nieuwe technologieën en kijken ze continu hoe de organisatie beter kan omgaan met securityrisico’s. De juiste gestandaardiseerde meetinstrumenten ondersteunen CISO’s op deze manier zodat ze zich kunnen richten op de bredere systeem-gerelateerde risico’s voor de organisatie.