Hoe organiseer je cybersecurity?

Bij veel organisaties is cybersecurity een verantwoordelijkheid van IT, vaak is dit van oudsher zo geregeld. Geen goed idee, stellen de deskundigen. “Door cybersecurity bij IT te leggen, kan er belangenverstrengeling ontstaan”, zegt Erik de Jong van Fox-IT. “IT is verantwoordelijk voor de continuïteit van de dienstverlening. Dat belang kan botsen met veiligheid. Er bestaat altijd spanning tussen die continuïteit en veiligheid. Ook ontstaat er een strijd om het budget: gaat het bedrijf geld uitgeven om iets veiliger te maken of kiest men ervoor om een extra functionaliteit toe te voegen.” Jaya Baloo van KPN wijst op soortgelijke risico’s. “De IT-baas heeft naast IT vaak ook de mensen die met innovatie bezig zijn onder zich. Is cybersecurity onderdeel van finance, dan kan het belang botsen met de doelstelling van meer efficiency.”

Lastige rol

Om te beginnen is cybersecurity een verantwoordelijkheid van iedereen in het bedrijf is, stel Baloo: “Finance moet rekening houden met CEO-fraude. Mensen met klantencontact, moeten weten welke informatie ze wel of niet mogen delen. De taken lopen sterk uiteen. Men moet zich hier bewust van zijn.”

Om cybersecurity goed te organiseren, is een aparte afdeling nodig, zegt Baloo. Deze afdeling moet het mandaat krijgen om te bepalen welke maatregelen nodig zijn of om een noodzakelijke wijziging door te voeren. Want de rol die security officers doorgaans spelen is een lastige: "Je blokkeert de live-gang van een initiatief vanwege veiligheid of je vraagt om geld. Het gaat altijd om moeilijke gesprekken.” 

Overkoepelend

Cybersecurity overstijgt vaak afdelingen en bedrijfsprocessen en zou daarom hoger in de organisatie belegd moeten zijn, vindt De Jong. “Het is veel breder dan IT. Het moet gezien worden als een los belang. Daarom moet het uit het IT-domein gehaald worden.” Volgens De Jong is het niet zo dat elke beslissing op hoog niveau genomen hoeft te worden. Maar belangrijk is wel dat een persoon uit de board, bijvoorbeeld vanuit risk of finance, eindverantwoordelijk is. 

Binnen complexe bedrijfsprocessen die sterk vervlochten zijn met IT, komt het vaak voor dat niemand meer het overzicht heeft overzicht heeft op het geheel, zegt Jan van den Berg. Door de verantwoordelijkheid hoger in de organisatie te leggen, kan dit voorkomen worden. De hoogleraar neemt de chemiesector als voorbeeld. “Op het laagste niveau gaat het om een klep die open of dicht gaat, aangestuurd door software en een controller. Maar daarbovenop zit weer een andere IT-laag en vaak nog één en nog één. Probleem is dat iedereen een stuk van de verantwoordelijkheid pakt, er is geen sprake van een overkoepelend overzicht.” Een persoon die boven het proces staat, kan zorgen dat het cyberbelang prioriteit krijgt, dat erover gesproken wordt binnen de verschillende onderdelen van een bedrijf en de security controls worden aligned. Van den Berg: “Niet denken aan overkoepelende cybersecurity, dat is het probleem.”

Kosten voorkomen

Het verbaast Baloo nog steeds dat cybersecurity zo om aandacht moet schreeuwen. Het zou gezien moeten worden als een instrument van de business. Want bedrijven die hun veiligheid op orde hebben, voorkomen hoge uitgaven: “Neem het voorbeeld van de containervervoerder, die systeemupdates niet had uitgevoerd. Ze hadden 300 miljoen euro aan kosten en een enorme reputatieschade. Toch zien veel bedrijven een cyberincident nog steeds als iets dat kan gebeuren, in plaats van iets dat gáát gebeuren.”

En kiest een bedrijf te vaak voor continuïteit, zonder risico’s in de besluitvorming mee te nemen, dan veroorzaakt dit op lange termijn een probleem, zegt Erik de Jong: “Als de klant altijd voorrang krijgt boven cybersecurity, is het belangrijk om een stap terug te zetten. Kijk naar de risico’s die het bedrijf loopt en bedenk of dat wenselijk is met het oog op de toekomst.”

Afstand tot de werkvloer

En is het cyberincident dan daar, dan komt vaak een belangrijke valkuil aan het licht: de afstand tussen directie en werkvloer is ook bij cybersecurity een issue. “Bij veel cyberincidenten maken we mee dat mensen op de werkvloer zeggen dat ze het probleem al zagen aankomen, terwijl de directie geen idee had”, zegt De Jong. Volgens hem bestaat er vaak een groot verschil tussen de daadwerkelijke veiligheid op de werkvloer en de perceptie op directieniveau. “Vaak bereiken de signalen het hoogste niveau niet.” 

Dit artikel is onderdeel van een reeks. Lees hier de andere twee delen:
Wat zijn de grootste cyberrisico's?
Is de AVG een stok achter de deur?