Soms is er een schok nodig voordat cyberbeveiligingsinitiatieven doorgang vinden.
60% van de MKB-bedrijven die te maken krijgen met een cyberbeveiligingsinbreuk, moet het bedrijf sluiten. Dit betekent dat, met name voor u, voorkomen beter is dan genezen.
Help uw directie te begrijpen welke beveiligingsbedreigingen uw specifieke organisatie kunnen schaden. Besteed niet te veel tijd aan het presenteren van algemene trends en statistieken. Help hen in plaats daarvan de verbinding te zien tussen die beveiligingstrends en de uitdagingen die specifiek van toepassing zijn op uw bedrijf en branche. Hoe meer context u kunt geven, hoe relevanter het voor uw directie zal zijn.
U kunt het bijvoorbeeld hebben over de grootste bron van inkomsten van uw bedrijf en voorbeelden geven van de manier waarop beveiligingsbedreigingen zoals ransomware die in gevaar brengen. Als uw bedrijf gevoelige gegevens zoals financiële gegevensrecords bewaart, kunt u voorbeelden laten zien van de juridische gevolgen en boetes voor uw bedrijf als dergelijke gegevens openbaar worden gemaakt.
Laat hen zien hoe een aanval werkt, hoe eenvoudig het kan zijn de beveiliging in gevaar te brengen. Geef ze echte voorbeelden van de kwesties waar u al meet te maken hebt, naast de risico’s en mogelijk effecten op de lange termijn van dergelijke problemen.
Leidinggevenden houden van meetcriteria en cijfers. Daarom is het belangrijk dat u uw beveiligingsprioriteiten op een lijn stelt met de doeleinden en deadlines van uw bedrijf. Bevestig hun zakelijke en IT-prioriteiten en laat zien hoe beveiliging kan helpen deze te bereiken.
Geef ook de keerzijde weer: hoe een beveiligingsincident een risico kan vormen voor hun plannen. Bijvoorbeeld: als u op het punt staat een nieuw product uit te brengen, wat is de potentiële schade voor uw bedrijf als dat intellectuele eigendom openbaar wordt gemaakt of vernietigd? Het hoeft in feite geen hypothetische kwestie te zijn. Het is een nog beter argument als u kunt kwantificeren wat bestaande beveiligingsproblemen het bedrijf al kosten.
Het is onwaarschijnlijk dat een enkele bespreking u alles geeft wat u nodig hebt. Maak uw communicatie eenvoudig en frequent. Praat regelmatig bij en rapporteer vaak op relevante meetcriteria. Wees niet bang in herhaling te vallen en probeer verschillende invalshoeken tot de boodschap overkomt en u de fondsen en steun krijgt die u nodig hebt.
In veel gevallen vinden beveiligingsprofessionals het moeilijk om de taal van de directie te spreken en hen te helpen te begrijpen waarom investeringen in beveiliging prioriteit moeten krijgen. De redenen voor investering worden kristalhelder als leidinggevenden na een cyberaanval de multidimensionale schade zien die deze veroorzaakt. Gesprekken (en veranderingen) gaan een stuk sneller als iedereen de kwestie begrijpt.
Daarom kan wetgeving zoals de General Data Protection Regulation (GDPR), die in mei 2018 van kracht werd, helpen bij het verbeteren van de beveiliging.
Bedrijven die al in beveiliging investeren hebben waarschijnlijk niet veel om zich zorgen over te maken, aangezien zij al aardig op weg zijn qua naleving (voor de beveiligingskant van de GDPR). Aan de andere kant kan de GDPR, voor die organisaties die worstelen met het vrijmaken van geld voor investeringen, een uitgelezen kans bieden om beveiligingsprofessionals en leiding op een lijn te krijgen. Dit soort nieuwe wetgeving legt minimale eisen op aan bedrijven, hetgeen in de toekomst zal helpen grotere technologische innovatie te ondersteunen.
Gegevensprivacy en IT-beveiliging zijn niet alleen voorschriften, maar ook de vraag van de klant. Bedrijven krijgen steeds frequenter vragen van hun klanten over de omgang met hun gegevens. Er is een vertrouwensrelatie, een aanname dat het bedrijf dat hun gegevens ontvangt er goed mee zal omgaan. De wet is er alleen om ervoor te zorgen dat bedrijven alles doen om dat vertrouwen niet te beschamen.