CIO4.jpg

Wanneer is security succesvol? Tijdens een workshop van CIO-Forum met 25 CIO's, CISO's en security officers werd op 25 oktober 2016 in het Mechelse Technopolis gezocht naar een antwoord. Wat zijn de kritische succesfactoren voor het verwezenlijken van Business Information Security? Aan de hand van de strakke academische procedure werkten 25 security officers werkten aan deze vragen.

Samen met AMS-staff Yuri Bobbert en Hans Mulder, leidde Talitha Papelard een intensieve workshop. Talitha is tweedejaars student van de Executive Master of IT Management en zal afstuderen op het onderwerp “Kritische succesfactoren voor de effectuering van Business Information Security.“

Cultuur, ethiek en gedrag

Op de vraag wat information security succesvol maakt, bleek dat ‘stakeholder management’ en ‘in niet-IT-taal communiceren’belangrijk is. Daarnaast is het voorkomen van ‘in verlegenheid brengende situaties’ en het ‘detecteren, oplossen en voorkomen van incidenten’ van belang. Een veelgestelde vraag is of information security onder verantwoordelijkheid valt van IT of van corporate risk management.

In literatuur wordt aangegeven dat cultuur, ethiek en gedrag belangrijk zijn, maar dat deze factoren sterk onderschat worden. Tijdens de workshop bleken deze aspecten bovenaan de lijst te staan. Betekent dit dat we een afwijkende  groep hebben of is de opinie veranderd? Ook de deskundigheid van medewerkers hebben een grote invloed op het succes van information security. Verschillen tussen branches werden duidelijk. Zo bleek in de financiële sector de organisatiestructuur en hiërarchie van grotere invloed te zijn dan in andere sectoren.

Vereisten voor succesvolle cyber security

Veel bedrijven hebben moeite om hun security op punt te stellen. De impact van slechte security op bedrijven kan groot zijn: finaciële verliezen, reputatieschade, IP diefstal, verlies van vertrouwen en zelfs failiet gaan.

Factoren die opvielen bij de deelnemers:

  • de opmerking "never waste a good incident” 
  • meningen over het elimineren van de menselijke factor en het vervangen door kunstmatige intelligentie waren sterk verdeeld
  • een dashboard zou helpen voor het managen van security strategie en incidenten: een verzamelplaats voor concrete cijfers als de 'resolve time of incidents' en het aantal attacks die gestopt zijn door security maatregelen
  • rapporteren over de efficiëntie in het oplossen van incidenten en over de gevorderdheid van security processen

Talitha Papelard zal de resultaten van de workshop gebruiken voor haar masterscriptie van de Master of IT Management.

In het open gedeelte, met ruim honderd deelnemers, was Yuri Bobbert, docent en onderzoeker bij Antwerp Management School, een van de sprekers. Hij deed onderzoek bij 300 bedrijven over hun information security en deelde de resultaten. Hij sprak openlijk over de fouten die hij tegenkwam en die hij zelf maakte. Uit de fouten leidde hij kritische succesfactoren af. Zo blijkt een goed framework behulpzaam te zijn. Bovendien zijn er concrete feiten nodig, bijvoorbeeld het exacte aantal incidenten, om goed te kunnen adviseren. Het zou nuttig zijn als organisaties hun security activiteiten omzetten naar financiële waarden en hierover rapporteren in het jaarverslag. Belangrijk daarbij is de taal van de stakeholders te spreken,  dus geen jargon en bestaande business modellen  gebruiken. Hij brak een lans voor meer onderzoek in dit vakgebied, dat een jong gebied is en waarin er nog veel te ontdekken valt.

CIO3.jpgIn de paneldiscussie gaf Marc Vael, voorzitter ISACA, aan dat er meer dan 1 miljoen jobs vacant zijn in security. Hij prijst instituten als Antwerp Management School voor het aanbieden van executive masters om dit enorme kennisprobleem te verkleinen. Edwin d'Hondt van CIO-Forum noemt in dat kader het Information Security Management programma, dat TIAS en AMS jaarlijks houden. Hij relativeert door te stellen dat het informatie security budget slechts een klein deel is van het gehele security budget. Voor fysieke beveiliging wordt meer uitgegeven, het is dan ook niet vreemd dat in veel ondernemingen de CISO gaat rapporteren aan de Risk officer.

Hoe security gepositioneerd moet worden is essentieel. De CISO zou een meer helpende hand kunnen bieden in plaats van een wijzende vinger, want de negatieve boodschap herhalen zal niet werken. CIO-Forum en Antwerp Management School hebben de intentie uitgesproken om vaker samen te werken in kennisevents.

 


Ontdek onze executive Leading Digital Transformation programma’s. Daarin leiden we executives op om de brug tussen Business en IT te kunnen leggen. 

Ontdek de opleidingen

New Call-to-action

We zijn benieuwd wat jij vindt. Laat een reactie achter!