Bestuurder, laat je informeren!

Expertblogs

Als bestuurder ben je verantwoordelijk voor het succes en de koers van jouw organisatie, inclusief de keuzes op het gebied van cybersecurity en risicomanagement. Het is daarom van cruciaal belang dat je tijdig wordt geïnformeerd over strategische cybersecurityvraagstukken, risicomanagement en de bijbehorende besluitvorming. Maar hoe pak je dat aan? In deze blog geef ik  concrete handvatten en inzicht in de belangrijkste concepten die  helpen grip te krijgen op cybersecurity, zodat jij  geïnformeerde en weloverwogen beslissingen kan nemen.

Veranderingen kun snel plaatsvinden in cybersecurity. Daarom is het cruciaal dat binnen een organisatie verschillende belanghebbenden, van bestuurders tot techneuten, juiste informatie op het juiste moment ontvangen om effectieve keuzes te kunnen maken. Hiervoor kan je gebruik maken van Cyber Threat Intelligence (CTI). CTI is een essentieel onderdeel van de risicoanalyse die je instaat stelt om te sturen op actuele en acute risico’s. Het is een opkomend werkveld binnen het domein van informatiebeveiliging waarmee organisaties proactief en tijdig kunnen inspelen op digitale dreigingen en risico’s.

Een van de belangrijkste doelen van CTI is het creëren van situational awareness bij verschillende afnemers en belangengroepen. Situational awareness verwijst naar het vermogen van een belangengroep om relevante informatie over een kwestie te verkrijgen, deze te interpreteren en te begrijpen, en uiteindelijk om als bestuurder geïnformeerde risicomanagement beslissingen te nemen.

Welke informatie relevant is hangt af van de afnemer of belangengroep. Een bestuurder zal bijvoorbeeld weinig kunnen met ruwe technische informatie zoals Indicators of Compromise (IoCs). Een SOC-medewerker heeft daarentegen minder aan een gedetailleerde strategische rapportage. Informatie is het meest waardevol wanneer het daadwerkelijk bijdraagt aan een geïnformeerd besluit in het kader van risicomanagement.

Geïnformeerde risico besluitvorming

In deze expertblog richt ik me tot bestuurders. Vanuit mijn werkpraktijk zie ik dat in algemene zin strategische beslissingen over cybersecurity niet altijd op basis van voldoende informatie worden genomen. Dat is niet verwonderlijk, aangezien cybersecurity lange tijd werd gezien als een technische randvoorwaarde voor organisaties. Cybersecuritykwesties werden daardoor vaak buiten de bestuurskamer gehouden (tenzij het echt niet anders kan, zoals bij een incident).

Die tijd is echter voorbij.

Hoewel bestuurders doorgaans niet direct betrokken zijn bij de technische aspecten van cybersecurity, is het essentieel dat zij risico’s begrijpen en strategische beslissingen nemen die de veiligheid van de organisatie waarborgen. Cybersecurity is een steeds bepalendere factor voor succes van een organisatie. Sommige cybersecurityvraagstukken zijn daarmee chefsache, en vanuit het NCSC denken we graag met je mee hoe invulling te geven aan deze rol.

Waar bijvoorbeeld een paar jaar geleden geopolitieke invloeden op cybersecurity nog betwist konden worden, is het nu overduidelijk dat onvrije landen digitale aanvallen uitvoeren voor strategische doeleinden zoals politieke en economische spionage, digitale sabotage of informatieoperaties. Ook afhankelijkheden van nieuwe bepalende technologie, zoals cloud technologie, hebben strategische implicaties die besproken moeten worden in de bestuurskamer.

Bestuurders beschikken veelal niet over de tijd, technische kennis en middelen om zelfstandig tot situational awareness en een geïnformeerd besluit te komen. CTI  kan juist daar een belangrijke rol in spelen. CTI kan ervoor zorgen dat tijdig de juiste strategische informatie en duiding voor handen is om tot goede besluiten te komen.

Bij het NCSC maken we daarvoor gebruik van verschillende type experts. CTI-specialisten en analisten zijn verantwoordelijk voor het in kaart brengen van een kwestie. Dit doen ze door benodigde (technische) informatie te verzamelen, dit te analyseren en te duiden. Samen met adviseurs werken ze vervolgens aan adviezen en handelingsopties die kunnen worden voorgelegd aan een besluitvormende autoriteit, zoals een bestuurder.

Intelligence requirements

Om te zorgen dat je geïnformeerd tot risicomanagement beslissingen kan komen, moeten specialisten, analisten en adviseurs weten welke informatie strategisch van belang is en welke kwesties er spelen aan de bestuurstafel.

Jij als bestuurder speelt hierin een cruciale rol. Want alhoewel een bestuurder niet zelfstandig alle informatie hoeft te verzamelen en te interpreteren, is het wel van belang dat jij als bestuurder tijdig aangeeft over welke kwesties u geïnformeerd wil worden en binnen welke termijn.

Deze informatiebehoefte kan worden vastgelegd door het opstellen van intelligence requirements. Intelligence requirements verwijzen naar de specifieke informatiebehoeften die belangengroepen in een organisatie hebben om digitale beveiligingsdoelen en risicobeheersingsstrategie te ondersteunen.

Bijvoorbeeld, een SOC-medewerker heeft behoefte aan informatie over malafide infrastructuur om kwaadaardig netwerkverkeer tijdig te kunnen herkennen. Deze informatiebehoefte kan worden vastgelegd in een intelligence requirement, waarin tevens wordt aangegeven hoe en met welke frequentie de informatie het beste geleverd kan worden.

Informatiebehoeften op strategisch niveau

Intelligence requirements bieden ook een mogelijkheid voor jou, als bestuurder, om jouwinformatiebehoeften expliciet te maken. Dit stelt specialisten, analisten en adviseurs in jouw organisatie in staat om te weten over welke kwesties en met welke frequentie u geïnformeerd wilt worden.

Dit helpt bijvoorbeeld om duidelijk te maken dat, in tegenstelling tot de SOC-medewerker, informatie over malafide infrastructuur voor u minder relevant is. Dreigingen en risico’s bij de toepassing van nieuwe technologieën waarin jij wilt investeren hebben anderzijds mogelijk wel topprioriteit.

Het is belangrijk om keuzes te maken en je te richten op een beknopte set van intelligence requirements. Bespreek deze met uw CISO, CTI-lead en/of strategisch adviseurs die verantwoordelijk zijn voor jouw informatievoorziening. Doe dit in dialoog, en laat je daarin ook adviseren over welke intelligence requirements realistisch zijn en via welke manier jij daarover geïnformeerd wil worden in de bestuurskamer.

Als bestuurder hoef je  geen diepgaande technische kennis te hebben om geïnformeerde beslissingen over cybersecurity te nemen. Wat wel essentieel is, is inzicht in de strategische risico’s van digitale dreigingen en de impact daarvan op jouw organisatie. Door vooraf duidelijke intelligence requirements op te stellen, zorg je ervoor dat je tijdig en op het juiste niveau wordt geïnformeerd, zodat je weloverwogen beslissingen kunt nemen die de veiligheid en continuïteit van de organisatie waarborgen.

Bart van den Berg is coördinerend specialist CTI bij de afdeling Operatie van het NCSC

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.