Waarom top-down governance geen optie is
Waarom top-down governance geen optie is
Cyberbeveiliging is geen technologisch probleem, maar een bestuurlijk probleem. In dit eerste deel wordt uitgelegd waarom de raad van bestuur wettelijk aansprakelijk is en wat dat in de praktijk betekent.
1.1 Het systemische karakter van cyberbeveiliging
Een firewall bepaalt niet hoeveel er aan beveiliging moet worden uitgegeven. Een SIEM-systeem bepaalt niet of er in personeelstraining moet worden geïnvesteerd. Een patchmanagementsysteem bepaalt niet of verouderde OT-systemen worden vervangen. Dit zijn beslissingen van het bestuur – genomen door de raad van bestuur. En de raad van bestuur is daar nu wettelijk verantwoordelijk voor.
De raad van bestuur bepaalt de risicobereidheid. Als de raad van bestuur niet voldoende is geïnformeerd over cyberrisico's – in termen die zij kan begrijpen en waarop zij kan reageren – dan is de risicobereidheid die zij vaststelt ongefundeerd. Een ongefundeerde risicobereidheid is geen verdediging. Het is een falen van het bestuur.
De drie faalmodi van cybergovernance binnen besturen
Delegatie zonder verantwoording af te leggen
"We hebben een CISO – dat is hun taak." De CISO voert het programma uit; de raad van bestuur bepaalt de risicobereidheid, keurt het programma goed, controleert de effectiviteit ervan en stelt de CISO verantwoordelijk.
Budgetteren zonder begrip
Het goedkeuren van een cybersecuritybudget zonder te begrijpen wat ermee wordt gekocht en welke risico's er nog bestaan, is geen goed bestuur, maar een blanco cheque die aansprakelijkheid creëert zonder enige zekerheid.
Beleid zonder bewijs
Uitstekende beleidslijnen op papier die nooit worden gecontroleerd. Een beleidslijn die stelt dat "alle gegevens versleuteld zijn" betekent niets als niemand heeft gecontroleerd of ze daadwerkelijk versleuteld zijn.