De alarmbellen gaan overal af. De rapporten zijn angstaanjagend, de cijfers overweldigend – cyber incidenten staan bovenaan de lijst van risico’s die jouw bedrijf aan de grond kunnen krijgen.
Als CEO weet jij dit als geen ander. Je hebt de krantenkoppen gezien, de sombere statistieken voorbij zien komen en misschien zelfs slapeloze nachten gehad bij de gedachte: “Wat als wij hierna aan de beurt zijn?“
Maar als je kijkt naar de agenda voor de volgende bestuursvergadering, staat cybersecurity er niet op.
Het wordt niet eens genoemd.
Cybersecurity is zogenaamd een topprioriteit
Uit PWC’s Dutch CEO Survey blijkt dat 56% van Nederlandse CEO’s zich grote zorgen maken over cyberrisico’s. De Allianz Risk Barometer noemt cyberincidenten als de grootste zorg voor bedrijven wereldwijd en volgens Gartner’s 2023 Top Cybersecurity Trends erkennen zakelijke leiders cybersecurity als een groot bedrijfsrisico, maar toch worstelen organisaties nog steeds met het nemen van de noodzakelijke stappen om deze risico’s te beperken.
Hoewel cyberaanvallen consequent worden aangemerkt als het grootste risico, is het verrassend dat cybersecurity zelden op de strategische bestuursagenda of in korte termijn bedrijfsplannen staat.
Deze paradox – waarbij cybersecurity wordt erkend als prioriteit maar niet op de planning verschijnt– vormt een serieus risico voor bedrijven. Het is vooral frustrerend voor IT-teams, die de urgentie wél inzien, maar moeite hebben om het bestuur hiervan te overtuigen.
Waar gaat dit mis? En hoe kunnen we deze paradox oplossen?
De uitdagingen van de cybersecurity paradox
Als je goed kijkt naar de cybersecurity paradox, zie je dat de uitdagingen zich op twee niveaus afspelen: filosifisch en praktisch.
Prioriteiten en begrip
Een van de grootste filosofische obstakels is de kloof tussen lange termijn cybersecurity behoeften en korte termijn bedrijfsdoelen. Leidinggevenden staan vaak onder druk om zich te richten op groei, winst en innovatie – gebieden die snelle resultaten en vertrouwen bij stakeholders stimuleren.
Cybersecurity past niet altijd in dat plaatje. Het wordt vaak gezien als een kostenpost in plaats van een aanjager van groei, waardoor het lastig is om proactieve investeringen te rechtvaardigen.
Daarbij komt dat cybersecurity soms het slachtoffer is van haar eigen succes. Wanneer alles goed werkt – geen datalekken, geen verstoringen – lijkt het alsof er geen probleem is. Hierdor zien leidinggevenden misschien niet altijd de tastebare waarde van cybersecurity, totdat er een inbreuk plaatsvindt die hen doet realiseren wat er mis kan gaan.
Expertise en middelen
In het verlengde van dit laatste filosofische argument is het succes van cybersecurity moeilijk te meten, wat het moeilijk maakt om blijvende investeringen te rechtvaardigen. Als de effectiviteit wordt afgemeten aan de afwezigheid van zichtbare incidenten, hoe toon je dan aan dat voortdurende financiering nodig is?
Bovendien ontbreekt het veel leidinggevenden aan de technische kennis om weloverwogen beslissingen te nemen over cybersecurity. Dit leidt vaak tot het delegeren van deze kwesties naar de IT-afdeling, in plaats van het te behandelen als een strategische prioriteit voor het hele bedrijf.
(Tip: Wil je op een toegankelijke manier je cybersecuritykennis opfrissen? Luister dan naar onze Threat Talks podcast! Hier zitten ook interessante aflevering voor je board bij.. 😉 )
Tot slot is het toewijzen van middelen altijd een uitdaging. Strakke budgetten, concurrende bedrijfsprioriteiten en de complexiteit van moderne cybersecuritytools maken het lastig om de juiste financiering en steun te krijgen voor cybersecurityinitiatieven.
Hoe los je de cybersecurity paradox op
Om deze paradox te doorbreken, moeten zowel de filosofische en praktische uitdagingen worden aangepakt.
Op filosofisch vlak moeten bedrijven hun perceptie van cybersecurity veranderen van ‘niets meer dan een operationele kostenpost’ naar een business enabler. Dit betekent dat alle belangrijke stakeholders betrokken moeten worden: het bestuur, IT, maar ook afdelingen zoals finance, operations en HR. Cybersecurity moet worden gezien als de verantwoordelijkheid van iedereen binnen het bedrijf, niet alleen van de IT-afdeling.
Op praktisch niveau kan de waarde van cybersecurity worden aangetoond door risicovermindering en operationele continuïteit te meten en te rapporteren. Dit verbindt cybersecurityinitiatieven met bredere bedrijfsdoelen.
Waar te beginnen?
De cybersecurity paradox maakt duidelijk dat er een kloof bestaat tussen het erkennen van het belang van cybersecurity en het daadwerkelijk tot strategische prioriteit maken.
Een goede eerste stap om deze kloof te overbruggen, is het uitvoeren van een cybersecurity assessment. Dit proces helpt om kwetsbaarheden in kaart te brengen en zorgt ervoor dat alle belangrijke stakeholders betrokken raken. Zo komen het bestuur, IT en andere afdelingen op één lijn. Door iedereen aan tafel te krijgen, kunnen bedrijven cybersecurity integreren in hun langetermijnstrategie.
cybersecurity weerbaarder maken
Meer weten over hoe ON2IT al meer dan negentien jaar organisaties helpt met hun Zero Trust strategie en implementatie?