Hoe verkoop je security aan je directie?

Het inschatten en beschrijven van de risico's van diigtalisatie is niet genoeg. Je zal als professional in de IT-beveiliging ook je verhaal moeten verkopen aan de directie. En daar heb je je collega's vanuit de business voor nodig.

Hoe maak je een plan om de risico's van verdergaande digitalisering van je bedrijf in te schatten en daarbij te beschrijven hoe je denkt de eventuele schade te minimaliseren als een aanval van buitenaf slaagt? En hoe zorg je ervoor dat de directie dat plan ondersteunt?

Laten we eerst eens kijken naar je plan. Dat zou minimaal een half dozijn risico's moeten bevatten die een bedreiging zijn voor de business, en niet per definitie de risico's voor IT. De vraag moet namelijk zijn: Wat zijn de belangrijkste technologie-gerelateerde risico's die de business in gevaar kan brengen? Dat is namelijk hetgene waar zowel de business als de directie zich de meeste zorgen over zullen maken.

Je zal als beveiligingsprofessional een balans moeten vinden tussen de noodzaak om de business te beschermen en het toch zo soepeltjes en efficiënt als mogelijk laten functioneren. Daarom zal je hierin nauw contact moeten hebben met de business, mede om een fundament te leggen voor als je je plan voorlegt aan de directie.

Je kan drie soorten reacties verwachten in je gesprekken met de business managers: daar hebben we nooit aan gedacht, we maken ons zorgen om zaken die niet op je lijst staan, je lijst bevat zaken waar we ons helemaal geen zorgen om maken.

Al deze reacties zijn te gebruiken want ze richten zich op jouw plan en wat voor hen belangrijk is. Ze geven een beter inzicht in hetgeen ze bezig houdt.

Vertrouwen is onderdeel van je plan

Een digitaal ingericht bedrijf leunt op een complexe combinatie van machines, technologie, partners en dienstenleveranciers, waarbij een groot deel buiten je directe controle vallen. Dus het is belangrijk om enig vertrouwen in te bouwen in je berekeningen. Wordt het bedrijf verantwoordelijk gesteld voor schade die uit een beveiligingsincident voortkomt als het element dat misbruikt werd niet direct onder controle staat van je organisatie?

Het risico op fraude via de digitale diensten van het bedrijf is een van de grootste zorgen, zegt analistenbureau Gartner. Fraude en juridische aansprakelijkheid kunnen worden beschreven in een daadkrachtig vertrouwensbeleid dat moet omschrijven wat te doen bij aanvallen op de business, zegt analist Felix Gaehtgens van Gartner.

De mate van onderling vertrouwen kan variëren van het vertrouwen van alles totdat het tegendeel wordt bewezen tot niets te vertrouwen totdat het zich als betrouwbaar heeft bewezen. Gaehtgens noemt dit een adaptief vertrouwen, dat aangepast wordt totdat de mate van vertrouwen gelijk staat met of groter is dan het risico dat de business loopt. Als dat niet het geval is, moet de business of het vertrouwen of het risico aanpassen, zegt hij.

Op de volgende pagina: Context is king.

1 2 Page 1
Page 1 of 2
Discover what your peers are reading. Sign up for our FREE email newsletters today!