Effectieve cyberweerbaarheid begint bij beter gesprek tussen CISO's en bestuurders

CISO's, die verantwoordelijk zijn voor de cybersecurity, en de raden van bestuur van organisaties moeten beter en vaker met elkaar praten. Bij bestuurders is het besef zo langzamerhand doorgedrongen dat waardecreatie, vertrouwen en cybersecurity hand in hand gaan. Cybersecurity staat hoog op hun agenda, maar ze kunnen beter gebruik maken van de kennis van CISO's.

De grote onzekerheid in de wereld veroorzaakt door geopolitieke onrust en de razendsnelle technologische ontwikkelingen baren CEO's steeds meer zorgen, zo blijkt uit de jaarlijkse CEO Survey van PwC. Een ander onderwerp dat CEO's meer dan gemiddeld bezig houdt is cybersecurity. Die risico's zijn groot, urgent en hangen ook weer samen met onrust op het wereldtoneel én met technologische ontwikkelingen.

Te weinig contact tussen CEO en CISO

Dat het onderwerp hoog op de agenda staat in de bestuurskamer is goed nieuws. Des te opmerkelijker is het dat uit ander onderzoek van PwC, Digital Trust Insights, naar voren kwam dat de interactie tussen het C-level en de CISO beter kan. Slechts een derde van de Nederlandse respondenten in dit onderzoek meldde dat er regelmatig contact is tussen de CISO en het topmanagement. Een goede CISO heeft én de technologische kennis én gevoel voor de business. De rol van de CISO is juist cruciaal in de cybersecurity om te voorkomen dat cybermaatregelen vergeten worden bij nieuwe initiatieven en te bevorderen dat het topmanagement inzicht heeft in die risico's. Als het gaat om technologie, zijn kansen en risico's allebei een kant van dezelfde medaille.

Cybersecurity betreedt nieuwe terreinen

Uit de CEO Survey, die afgelopen januari is gepubliceerd, blijkt ook dat bijna driekwart (67 procent) van de Nederlandse CEO's de komende tijd in cybersecurity wil investeren. Een goede zaak, want de komende jaren komt er nogal wat op CEO's af. Onderstaand geef ik twee voorbeelden die duidelijk maken dat cybersecurity zich uitstrekt tot nieuwe terreinen.

• AI Agents die de rode loper uitleggen voor hackers
  AI-agents die autonoom beslissingen nemen en taken uitvoeren kunnen fungeren als digitale beveiligingsmedewerker en een belangrijke bijdrage leveren aan het voorkomen en adequaat reageren op aanvallen. Dit helpt bedrijven die over het algemeen veel moeite hebben mensen met de juiste digitale vaardigheden aan te trekken. Maar bedenk wel: cybercriminelen zetten ook AI Agents in. Aanvallers kunnen via verborgen instructies in documenten of berichten het gedrag van een agent 'kapen' en daardoor als het ware een digitale rode loper uitleggen voor hackers. Er zijn allerlei maatregelen mogelijk om deze risico's te mitigeren, maar dat moet je wel weten en kunnen meenemen tijdens het ontwerpen van een AI Agent.
• Quantum computing dat versleuteling ontcijfert
  Quantum computing biedt talloze nieuwe mogelijkheden, zoals medische doorbraken, versnelling van technologieën als AI en oplossingen om de beveiliging van ons internet in de toekomst te waarborgen. Een geweldige ontwikkeling, maar ook hier geldt dat het een nachtmerrie kan worden als het ingezet wordt door personen met verkeerde intenties. Quantum computing is namelijk in staat de versleuteling van bedrijfsgevoelige en persoonlijke informatie te omzeilen. Voorheen dachten we dat dit probleem over tien jaar op zou kunnen doemen, nu hanteren we al een tijdshorizon van drie à vier jaar. Wat het probleem nog urgenter maakt zijn aanwijzingen dat hackers nu gestolen data bewaren om die over een paar jaar te kunnen ontcijferen. Ook hier geldt: mitigerende maatregelen zijn mogelijk, maar die zijn complex en tijdrovend.

‘Waardecreatie, vertrouwen en cyberveiligheid kunnen niet zonder elkaar’

Cyberrisico's zijn heel lang gezien als een technologisch issue, als een zwakke plek in de technische infrastructuur. Nu worden ze veel meer gezien als strategische risico's voor organisaties. Bij steeds meer bestuurders dringt door dat waardecreatie, vertrouwen en cyberveiligheid niet zonder elkaar kunnen. Maak daarom gebruik van alle kennis in een organisatie. Des te meer reden om de CISO vaker aan te laten schuiven bij de board.