Column Fred Streefland

De echte vraag is natuurlijk of hoger management bereid is om serieus te investeren in een effectieve Chief Information Security Officer of CISO (met mandaat) en een salaris te betalen van 200.000 euro. Of dat een organisatie het risico wil nemen dat het wordt aangevallen met ransomware met een financiële impact die tien keer zo groot kan zijn.

Helaas blijkt dat nog teveel bedrijven kiezen voor het risico, waardoor ze ‘succesvol’ worden aangevallen met ransomware. Een effectieve CISO (met mandaat) garandeert helaas niet dat de organisatie niet wordt aangevallen, maar het geeft wel een goed verhaal bij een aanval, omdat dan alles is gedaan aan het voorkomen ervan.

Daarnaast is de kans om slachtoffer te worden van ransomware ook aanzienlijk kleiner, want cybercriminelen

zoeken meestal de makkelijkste weg om geld te verdienen. Een organisatie die niet serieus heeft geïnvesteerd in cybersecurity en geen effectieve CISO (met mandaat) heeft aangesteld, is veel eenvoudiger te ‘hacken’ dan een organisatie zonder CISO.

En ja, een dergelijke ervaren CISO kost nu eenmaal geld en vereist een serieuze investering, Maar een goedbetaalde CISO is nog altijd tien keer goedkoper dan een succesvolle ransomwareaanval. En dan heb ik het alleen nog maar over de financiële impact. Het is dus eigenlijk geen dilemma, maar een simpele keuze!

Maar wat is nu ‘een effectieve CISO (met mandaat)’? Dit is iemand die verantwoordelijk is voor het managen van de (digitale) businessrisico’s, zodat de organisatie ongestoord de ‘core business’ kan uitvoeren. De CISO is aangesteld door het management, moet rechtstreeks adviseren en heeft ook mandaat (100% support en bijbehorend budget) voor het ontwikkelen, uitvoeren en monitoren van de cybersecuritystrategie.