Onderzoek cybersecurity: de 10 belangrijkste succesfactoren

Hoe houd je cybercriminelen succesvol buiten de deur? Onderzoek laat zien dat niet de techniek maar de betrokkenheid van de directie het meest bepalend is.

“In de literatuur staan meer dan 100 factoren beschreven die van belang zijn om succesvol te zijn in cybersecurity", zegt Talitha Papelard, onderzoeker en Director Business Security bij Northwave. “Wij wilden graag onderzoeken wat in de praktijk als de belangrijkste succesfactoren worden gezien.”

Samen met onderzoeker Yuri Bobbert ondervroeg ze circa 60 personen die werkzaam zijn op het C-level van grote organisaties. De resultaten zijn te lezen in het boek Critical success factors for effective business information security.

Wat is de belangrijkste conclusie van jullie onderzoek?
“Dat het commitment van de directie van het allergrootste belang is. Bovenaan de lijst staan namelijk ‘de betrokkenheid van de directie’ en ‘het voorbeeldgedrag van de directie en het senior management’. Als zij zich verantwoordelijk voelen en dit uitdragen, zetten ze daarmee de toon voor de hele organisatie.

Bij Northwave zien we dat ook terug bij de organisaties die we helpen omdat ze slachtoffer zijn geworden van een cyberaanval. In vrijwel alle gevallen kunnen de criminelen toeslaan omdat de bestuurlijke visie ontbreekt. Organisaties hebben vaak wel iets geregeld, zoals het maken van back-ups of het beschermen van de privacygevoelige gegevens. Maar er is geen integrale aanpak waardoor er essentiële onderdelen worden vergeten en criminelen eenvoudig binnenkomen.

Als cybersecuritybedrijf helpen we organisaties om dit onderwerp integraal op te pakken. We brengen de cybersecurity-risico's van de hele organisatie in kaart. Zo kunnen bestuurders weloverwogen organisatie-breed sturen op het treffen en het toetsen van de juiste maatregelen.”

Ook een open bedrijfscultuur wordt gezien als een belangrijke succesfactor. Hoe borgen jullie dat?
“Dat is een onderdeel van onze geïntegreerde aanpak. Een open cultuur begint bij de directie. Als zij de juiste tone-of-voice hebben, voelen werknemers de ruimte om kwetsbaarheden te melden. Zo ontstaat er een risicogerichte aanpak.

Hiermee borgen we ook de succesfactor ‘leren van incidenten'. Er blijven geen belangrijke kwetsbaarheden verborgen. In een cultuur waarin iedereen zich kwetsbaar kan opstellen, ben je beter in staat om de informatie en de mensen te beschermen.”

Een organisatie moet bovendien voldoende budget, middelen en capaciteit beschikbaar stellen. Hoe ondersteunen jullie organisaties om daar de juiste keuzes in te maken?
“De investeringen die je doet, moeten altijd in balans zijn met de risico's die je loopt. Wij brengen exact in kaart welke risico's een organisatie loopt en welke investeringen er nodig zijn om deze risico's te verminderen. Zo kan een directie de juiste keuzes maken.”

Ook het gedrag van werknemers is bepalend voor de mate waarin een organisatie erin slaagt om cybercriminelen buiten de deur te houden. Hoe borgen jullie dat?
“Het is niet alleen belangrijk dat medewerkers weten wat de gevaren zijn. We trainen hen ook om daarnaar te handelen. In ons trainingsprogramma leren we medewerkers wat er in hun rol of functie van hen verwacht wordt op het gebied van cybersecurity. Zo wordt veilig cybersecuritygedrag net zo vanzelfsprekend als het omdoen van je autogordel voordat je gaat rijden.”

De laatste succesfactor is: zicht hebben op het dreigingslandschap. Hoe borgen jullie dat?
“Door permanent de IT te bewaken, de cyberrisico's te beheersen en permanent de medewerkers te trainen en te begeleiden. Zo is er altijd real time zicht op de risico’s en kwaliteit van de maatregelen. De bedreigingen worden 24 uur per dag gezien en behandeld. Kortom, met ons aan hun zijde kan een directie de juiste beslissingen blijven nemen, wat de dynamiek in het bedrijf en de bedreiging ook is.”

Dit artikel wordt u aangeboden door Northwave. Meer informatie: www.northwave-security.com