• homepage
  • technologie
  • Hoe voer je een lastig gesprek over cybersecurity met het senior management?

technologie

Hoe voer je een lastig gesprek over cybersecurity met het senior management?


Volgen:

Door Greg Day en Peter English – In 2018 treden er twee nieuwe EU-wetten in werking, gericht op het melden van datalekken, databescherming en het voorkomen van cyberincidenten die gevolgen hebben voor essentiële diensten. Nu de maatschappij steeds afhankelijker wordt van digitale middelen, wordt er van bedrijven verwacht dat zij state-of-the-art-cybersecurity-middelen implementeren.

Met het oog op deze eisen moeten bedrijven eensgezind actie ondernemen. Uit onderzoek van Palo Alto Networks blijkt echter dat de helft van de IT-securityprofessionals het lastig vindt om het senior management te informeren over zwakke punten in de beveiliging, terwijl de rest het lastiger vindt om toe te geven dat er een breach heeft plaatsgevonden. Wat kunnen we hieraan doen?

Tips van Greg Day

Maak de vertaalslag
Directies kijken meestal naar risico's aan de hand van de commerciële gevolgen. Daarnaast kijken zij ook naar hoe er een evenwicht gevonden kan worden in de investeringen die nodig zijn om risico's te beheersen. Ze zullen minder snel kijken naar wat er technisch nodig is om de risico's te verhelpen. Om dit inzichtelijker te maken, moeten IT-securityprofessionals veel vaker behapbare updates aanleveren, die de directie voorzien van gefundeerde inzichten uit de praktijk. Essentieel, maar veel te vaak afwezig is de commerciële benadering: "Wat betekent dit voor mijn bedrijf?" Het is heel makkelijk om verstrikt te raken in technisch jargon.

Wees duidelijk hoe de waarde voor het bedrijf te meten is
Het kan vaak lijken alsof directieleden niet openstaan voor nieuwe ideeën. Dit komt meestal doordat men niet weet hoe de waarde van die ideeën voor het bedrijf te meten is, zeker als men om te beginnen het commerciële risico al niet kan inschatten. Er zijn veel cybersecurity frameworks die mogelijkheden bieden om de cybersecurity te meten, maar veel indicatoren zijn 'lagging'. Dat betekent dat de indicatoren pas achteraf aangeven dat iets is gebeurd. Het kan dus lijken alsof er toch dingen blijven gebeuren, wat we er ook aan proberen te doen. Zoek dus de belangrijkste cijfers bij elkaar die laten zien hoe goed je bent voorbereid op risico's. Het gaat dan zowel om het herkennen van risico's als om de manier hoe je erop reageert. Ook moet je kunnen laten zien welke acties je onderneemt zodra het onverwachte toch gebeurt.

Wees transparant als er gaten in de beveiliging zijn
Minder dan de helft van alle cybersecurityleiders gaf in de enquête aan al het mogelijke te hebben gedaan om een incident te voorkomen. Velen onder hen gaven aan dat dit kwam doordat ze niet de middelen kregen die ze nodig hadden, of dat ze achteraf gezien meer hadden kunnen doen. De echte uitdaging is echter: als IT-securitymanagers zelf niet eens aan hun eigen verwachtingen kunnen voldoen, hoe kunnen ze dan van anderen verwachten dat ze in hun aanpak geloven? Dat we security vandaag op een bepaalde manier doen, wil niet zeggen dat we dit in de toekomst ook zo moeten doen. IT-securitymanagers moeten hun eigen grootste criticus worden. Ze moeten op zoek naar pragmatische manieren om te zorgen voor de juiste balans, die past bij het acceptabele risiconiveau van hun organisatie.

Word het eens over de balans tussen investeringen en risico's
Cybersecurity verandert snel. Daardoor kan wat gisteren nog goede security was, morgen slechte security zijn. IT-securitymanagers en directieleden moeten het eens worden over wat acceptabel is. Ze moeten de risicodrempel bepalen die ze niet willen overschrijden. De nieuwe EU-wetten, de GDPR en de NIB-richtlijn, moedigen het gebruik van relevante cybersecuritymogelijkheden aan, zodat er optimaal gebruik kan worden gemaakt van actuele, state-of-the-art werkwijzen. De balans tussen preventie, respons, detectie en bescherming staat hierbij centraal.

Verandering is goed
Organisaties zijn constant op zoek naar nieuwe en innovatieve manieren om de markt op te gaan. In de dynamische cybersecuritywereld streven IT-securitymanagers echter naar conformiteit en werken ze met dezelfde 'best practices' en dezelfde principes. De aankomende EU-wetgeving is een welkome en zeldzame kans om de wellicht wat gedateerde cybersecurityconcepten en -overtuigingen te vernieuwen.

Hoe kunnen IT-securitymanagers deze nieuwe vaardigheid, lastige onderwerpen aansnijden bij de baas, onder de knie krijgen?

Tips van Peter English

Bereid je grondig voor
Stel een duidelijk doel voor het gesprek. Je doel moet iets zijn waar jij de controle over hebt, bijvoorbeeld 'beknopt uitleggen wat er is gebeurd en welke acties je voorstelt. Op rustige toon blijven praten en krachtige lichaamstaal uitstralen' en niet 'zorgen dat ze me met respect behandelen'. Vertel wat vanuit jouw perspectief de implicaties zijn van de cybersecurity-breach. Vergeet niet dat je baas misschien helemaal geen verwachtingen heeft. Hierdoor kun jij de informatiestromen aansturen. Anticipeer op vragen en bedenk alvast antwoorden. Door je op deze manier voor te bereiden kom je zelfverzekerd, rustig en bedachtzaam over.

Doe de 'Wonder Woman'
Neem een krachtige pose aan. Als je voorafgaand aan een bespreking korte tijd in een krachtige houding gaat staan, kan dat ervoor zorgen dat de andere partij je hoger inschat. Dit werkt doordat je je op die manier sterker voelt en hierdoor een sterker uitstraling hebt, zelfs als men aan de andere kant niet weet dat je van tevoren een pose hebt aangenomen. Een van de poses die werkt is de 'Wonder Woman'. Ga rechtop staan met je borst vooruit, je handen op je heupen en je benen iets uit elkaar. Doe dit vlak voor de bespreking, gedurende 30 tot 60 seconden.

De houding die je níet moet aannemen is die van het 'aangepaste kind' dat verwacht dat het op zijn donder krijgt. Hierbij leun je voorover op de rand van je stoel, met de voeten en knieën tegen elkaar aan, de handen op schoot en het hoofd licht gebogen. Het is eenvoudig om in deze val te trappen op een kwetsbaar moment. Een krachtiger en meer gezaghebbende pose is als je rustig achterover gaat zitten in je stoel met je benen over elkaar.
 
Hou emoties in bedwang
Het doel van het gesprek is niet dat je emotionele behoeften worden vervuld. Als je je angstig of schuldig voelt, is het heel natuurlijk om te hopen dat de ander zegt: "Het is niet erg, je krijgt geen straf." Dit komt vooral voor wanneer er angst is voor schade aan reputatie en carrière.
 
Maar in een situatie waarbij je een cybersecurity-breach moet melden, moet de behoefte aan emotionele erkenning buitenskamers blijven. Ga iets drinken met een vriend, praat met collega's die je vertrouwt, maar neem emotionele behoeften niet mee naar dit soort gesprekken met een senior manager. Dit moet een zakelijk gesprek zijn over oplossingen en preventieve maatregelen. Wees voorbereid op de emotionele reactie bij de ander. Heb je de situatie eenmaal uitgelegd, geef je manager dan wat ruimte om vragen te stellen of om stoom af te blazen. Onderbreek je manager niet en zeg zeker geen dingen als: “Kalm aan"!

Greg Day is chief security officer bij Palo Alto Networks. Peter English is auteur van Tackling Difficult Conversations.

Van onze partners

Magazines

TITM nr 1 - Cloud & Data


In het eerste nummer van Tijdschrift IT Management (TITM) staat dataopslag in de cloud centraal. Nu de cloud steeds meer de primaire strategie is voor ondernemingen, is het zaak dat medewerkers op een veilige, consistente en snelle manier toegang hebben tot hun data, ongeacht het device waarop ze werken of de locatie waar ze zich bevinden. Vooral voor bedrijven met meerdere vestigingen en veel mobiele werknemers is dit een uitdaging. Tel daarbij op het stijgend aantal hybride cloud-architecturen en de uitdagingen op het gebied van security en compliance, en de complexiteit wordt in één oogopslag duidelijk.


Naar alle magazines