PQR: Directie heeft pas budget voor cybersecurity als het eigenlijk al te laat is

Dat CIO’s een plek aan de directietafel verdienen, is duidelijk. Toch moet een IT-manager, zoals een CIO bij middelgrote organisaties nog steeds heel vaak zeuren om geld vrij te krijgen voor goede cybersecurity, vertelt Marco Lesmeister, managing director bij PQR. Marijke Kasius, CEO bij PQR: ‘Daarom gaan wij namens de IT-manager het gesprek aan met de directie om te laten zien welk risico ze lopen en hoe ze dat kunnen oplossen.’

Op het Gartner ITXposium/Xpo gaat het dit jaar over de leiding die de CIO moet nemen om het bedrijf te navigeren door turbulentie en zelfs groei te realiseren. Alleen het verhaal dat de CIO vanzelfsprekend aan de directietafel zit, klopt niet altijd, vertelt Marco Lesmeister, managing director bij PQR. ‘Gartner bedient grotere organisaties waar CIO’s veel invloed hebben op C-level. Maar bij middelgrote organisaties heet een CIO nog steeds de IT-manager.’

Geen aandacht voor cybersecurity
De functietitel ter zijde: IT-managers zijn zich, net als grote broer de CIO, veelal bewust van de noodzaak van goede cybersecurity, maar hoewel ze dat bepleiten en bepleiten: ze krijgen geen gehoor bij directie. ‘Ze worden dagelijks geconfronteerd dat ze niet beschermd zijn tegen aanvallen, ze zijn zich bewust van de gevaren die er spelen, maar er wordt pas wat gedaan als het kalf verdronken is’, vertelt Lesmeister.

Marijke Kasius, CEO bij PQR, vult aan: ‘Het helpt echt dat in de krant wordt bericht over security-breaches en aanvallen. Maar directeuren onderschatten vaak de impact van een doorbraak op de operatie en de reputatie.’ Lesmeister vult aan: ‘Bij middelgrote organisaties werken nog steeds duizenden mensen en de impact is enorm. En toch speelt de IT-manager een minder belangrijke rol.’

Minder financiële middelen, maar evenveel risico’s
De uitdagingen van middelgrote organisaties zijn ook anders, vertelt Lesmeister. Want waar grote organisaties de financiële slagkracht hebben om in alle aspecten van een goed securityplan te investeren, moeten de middelgrote organisaties scherpere keuzes maken. ‘Ze hebben misschien minder financiële middelen, maar het risico is even groot. Dus hoe ga je met minder geld prioriteiten stellen’, vertelt Lesmeister.

‘Ga je oude applicaties vernieuwen, een nieuwe back-up omgeving opzetten om een ransomware-aanval te kunnen weerstaan of ga je investeren in nieuwe laptops. Grote organisaties kunnen dat allemaal, maar voor kleinere organisaties is dat lastig. En niet in de laatste plaats omdat ze niet de juiste mensen met de juiste kennis hebben om met deze transities door te gaan’, aldus Lesmeister.

Nog nooit gebeurd, dus niet nodig
Soms is de slimste stap voor deze organisaties dat ze ervoor kiezen om hun IT uit te besteden, maar daarvoor moet eerst wel het gesprek hierover gevoerd kunnen worden. Want ook uitbesteden kost geld. ‘Het draait om meer begrip creëren over waarom investeren in betere security belangrijk is. Een CEO zegt dan: ja, maar het is nog nooit gebeurd, dus waarom is het nodig’, vertelt Kasius.

Ze vergelijkt cybersecurity met alles dat een organisatie investeert om brand te voorkomen en het bedrijf te herstellen na een brand. Investeren in rookmelders, een sprinklersysteem en een verzekering is heel normaal. Maar het risico dat organisaties lopen door cybersecurity-aanvallen kan vele malen groter zijn, want het heeft niet alleen impact op de operatie, ook reputatieschade heeft langdurige gevolgen.

Een businesscase is zo gemaakt
‘Als je als IT-manager het gesprek met de directie op gang kan brengen, dan kan je kijken hoe je met je beperkt budget controle krijgt op de situatie. Maar als je de risico’s in kaart hebt én weet wat je gemiddeld moet betalen voor losgeld, dan is de businesscase zo gemaakt’, vertelt Kasius. ‘Zelfs als je bedenkt dat security niet stopt bij een enkele uitgave, maar een voortdurende investering is in certificeringen, updates en kennis.’

Naast de budgetten is er nog een verschil tussen grote en middelgrote organisaties, vertelt Lesmeister: ‘Een CIO houdt zich bezig met innovatie en strategie, en een CISO kan zich focussen op cybersecurity, maar een IT-manager houdt zich bezig met innovatie, strategie, iedereen tevreden houden én security. Het gevaar is dat ze zich dan alleen richten op alles in de lucht houden, maar ze moeten af van het idee dat ze een staffunctie hebben.’

Durf keuzes te maken!
Dat IT vaak een ondergeschoven kindje is, ligt deels aan de directie, maar het is ook aan de IT-manager om duidelijkere keuzes te maken, vindt Lesmeister. ‘Soms zijn IT-managers bang voor hun baan, maar als jij geen keuzes durft te maken en cybersecurity niet op de agenda zet, dan krijg je alsnog de schuld wanneer het mis gaat. En het gaat een keer mis. Of ze laten zich leiden door techneuten, maar elke techneut heeft weer een ander verhaal. Neem je verantwoordelijkheid.’

Onderdeel van verantwoordelijkheid nemen is onderkennen als je niet meer de kennis intern hebt om bepaalde uitdagingen op te lossen. Lesmeister: ‘Het verloopt zoals het met bedrijfsauto’s is verlopen: eerst beheerden we allemaal ons eigen autopark, maar later maakten we gebruik van leaseauto’s. Het beheren van auto’s hoort namelijk niet bij je kerntaak. Datzelfde geldt voor IT en cybersecurity.’

Kasius vult aan: ‘Soms vragen IT-managers aan ons om met de CEO te gaan praten. Wij zijn echt een partner van die manager en dan gaan we naar de directie om uit te leggen wat niet goed geregeld is.’ Maar Kasius wil niet alleen toewijding van die IT-manager, ook de directie moet zich committeren aan security: ‘Als het bij hen misgaat, dan komt het ook bij ons. Dus als je bij ons managed services afneemt, dan moet security een prioriteit zijn.’

Criminelen zijn specialisten
Om organisaties te helpen met security biedt PQR ook securityservices. ‘Criminelen zijn specialisten in hacking, dus met een gemiddelde IT’er kan je een crimineel niet te slim af zijn.’ En een specialist vinden die bij jouw organisatie blijft, dat is ook lastig in de war on talent die nu gaande is, vertelt Lesmeister. ‘Je ziet dat steeds meer IT-managers zich dat realiseren en dus hun security uitbesteden.’

Als bijkomend voordeel verzorgt PQR niet alleen security voor die ene klant, maar voor honderden klanten tegelijkertijd. Daardoor kan optimalisatie bij het ene bedrijf leiden tot optimalisatie bij het andere bedrijf. Kasius: ‘Je hoeft niet zelf het wiel uit te vinden. In tegendeel: als we meer samenwerken, staan we sterker. Zeker omdat we in cybersecurity niet tegen elkaar vechten, maar tegen een onzichtbare vijand. Wat als we samen ten strijde kunnen trekken?’

Auteur: Anne van den Berg