In veel organisaties is security nog steeds een IT-verantwoordelijkheid. Firewalls, patches, monitoring, compliancechecks: het wordt geregeld door de IT-afdeling. Totdat er iets gebeurt. Dán blijkt ineens dat security geen puur technisch onderwerp is, maar directe impact heeft op reputatie, continuïteit en zelfs bestuurlijke aansprakelijkheid. En precies dáár zit de kloof tussen IT en business.

De uitdaging? Als IT het over security heeft, gaat het over kwetsbaarheden, patches en logs. Terwijl de business denkt in risico’s, omzet, reputatie en strategie. Daar komt CISO-as-a-Service om de hoek kijken. Eén van de doelen van deze dienst is namelijk om die twee werelden bij elkaar te brengen. Om IT en business beter op elkaar af te stemmen.

Een stap terug: wat is het precies het probleem tussen IT en business?

Zoals we al aangaven: IT denkt in kwetsbaarheden, patchniveaus en monitoring. De business denkt, op haar beurt, met name in omzet, reputatie en strategische risico’s. Beide perspectieven zijn logisch natuurlijk, maar ze sluiten niet (goed) op elkaar aan. En dat kan tot misverstanden of onbegrip leiden. Een voorbeeld: IT waarschuwt voor kritieke kwetsbaarheid, wat door de directie wordt aangehoord als extra kosten, vertraging en complexiteit. Wanneer de business een nieuwe Cloudtool wil invoeren, ziet IT juist de risico’s en beheerlast.

Maar met name in audits, compliancyvraagstukken en – in het ergste geval – bij cyberincidenten wordt die wrijving meestal echt duidelijk. Vaak raakt directie dan pas betrokken bij IT, omdat het dan heel tastbaar wordt. Terwijl cyberrisico’s inmiddels tot de grootste bedrijfsrisico’s behoren.

Security is dus geen IT-verantwoordelijkheid, maar een bedrijfsrisico

Organisaties moeten af van het idee dat informatiebeveiliging volledig de verantwoordelijkheid van de IT-afdeling is, aangezien het onderwerp juist aansprakelijkheid, continuïteit en reputatie raakt. Denk aan AVG of verplichtingen in contracten richting je klanten. Dan hebben we het ineens over bestuurlijke verantwoordelijkheden. Ook in het geval van frameworks als ISO 27001 en NIS2 zie je dat risicomanagement een taak is waarbij IT input levert, maar besluitvorming op directieniveau ligt. Maar hoe zorg je dan voor regie tussen deze verantwoordelijkheden en hoe zorg je er überhaupt voor dat het niet bij IT blijft liggen?

Hoe verbindt CISO-as-a-Service IT en business?

Hier komt CISO-as-a-Service in beeld. Wat dat hierin kan betekenen, is het samenbrengen van technologie, risico én strategie. De uitvoerende CISO neemt verantwoordelijkheid over het vertalen van securityonderwerpen naar bestuurlijke impact. Dat zie je duidelijk terug in de drie verschillende abonnementen en wat deze inhouden.

Hoe vertaalt een CISO de IT-termen naar directieniveau? Hij stelt specifieke vragen, zoals:

• Wat zijn de financiële gevolgen als dit misgaat?
• Zijn we compliant als dit scenario zich voordoet?
• Welk restrisico kunnen we accepteren?
• Wat betekent dit voor onze kernactiviteiten?

Een concrete manier om security concreter te maken en het zo te vertalen naar relevante managementonderwerpen. Daarmee verklein je direct de afstand tussen IT en business, waar de CISO verantwoordelijkheid voor draagt.

Dashboards en rapportages

Leuk, die vragen. Maar het is belangrijk om IT-onderwerpen meetbaar en inzichtelijk te maken. Een onderdeel van CISO-as-a-Service is ook een stuk rapportage en dashboarding. De invulling daarvan is afhankelijk van het abonnement dat je kiest. Maar in de basis vertaalt CISO-as-a-Service techische data als patches en alerts naar KPI’s als:

• Risicoreductie over tijd
• Compliancevolwassenheid
• Incidentresponstijd
• Trendanalyse van kritieke kwetsbaarheden

Vaak weergegeven in dashboards of overzichtelijke rapporten. Deze documenten worden vervolgens meegenomen als gespreksonderwerp in managementmeetings. Die dashboards geven niet alleen technisch inzicht, maar ook duidelijke onderwerpen waar je op kunt sturen als organisatie.

“Zo hebben we gesprek van onderwerp met zowel het MT als de hele organisatie”

Met CISO-as-a-Service voldoet SOMA College aan het normenkader en professionaliseert zij haar IT-landschap actief. In de referentiecase benoemt Niels Te Lintelo, Teammanager ICT, dat IT een organisatiegedragen geheel is geworden. Doordat belangrijke zaken op papier zijn gezet, kunnen deze aan het management worden voorgelegd. Dit zorgt voor onderwerp van gesprek richting zowel het MT als de organisatie.

Dit toont aan dat CISO-as-a-Service niet alleen werkt aan je securitybeleid en een stuk uitvoering daarvan, maar ook invloed heeft op de cultuur binnen je organisatie.

Conclusie

De afstand tussen IT en business ontstaat nooit expres, maar altijd op basis van het feit dat er verschillende perspectieven zijn. IT richt zich op techniek en beheersbaarheid, terwijl het hoger management bezig is met zaken als groei en continuïteit. En nogmaals: dat is logisch. CISO-as-a-Service kan een grote rol spelen in het samenbrengen van deze onderdelen van je organisatie. Doordat de CISO als onafhankelijke sparringspartner kan fungeren. Ook worden gezamenlijke sessies opgezet waarbij het gespreksonderwerp duidelijker is door KPI’s, rapportages en dashboards.

Technische risico’s worden zo tastbaar en de bedrijfsimpact wordt zichtbaarder.

Meer weten over CISO-as-a-Service, de verantwoordelijkheid die wij nemen over jouw security en compliancy, of een concrete vraag over cybersecurity? Wij denken en kijken graag mee. Laat het ons gerust weten. Natuurlijk gewoon vrijblijvend.