Cybersecurity Awareness Month in oktober is al meer dan twintig jaar hét moment om de uitdagingen en praktijken van goede cybersecurity in de schijnwerpers te plaatsen. Het bestaan van deze maand is een goede zaak als je naar de vele cyberincidenten kijkt. Cybersecurity Awareness Month is dus belangrijk, maar we moeten er wel op letten dat we de juiste doelgroep aanspreken en dat cybersecurity een continu proces is.

Hoe meer aandacht een probleem krijgt en hoe vaker het in het nieuws komt, des te meer mensen zich bewust zijn. Maar bewustzijn creëren is niet genoeg. Het is slechts de eerste stap, want nadien moet je er wel wat mee doen. In dat opzicht is het positief dat wetgevingen zoals NIS2 en DORA het vizier op C-level hebben gericht. Dankzij deze wetgeving is de board van een bedrijf nu echt aansprakelijk en moeten ze dus wel interesse tonen in cyberdreigingen en beveiliging.

Dat die verschuiving overal bezig is, blijkt uit een recente cyberaanval bij de vliegtuigmaatschappij Qantas. Het bestuur van het bedrijf greep als sanctie naast een aantrekkelijke bonus. In het geval van de CEO ging het zelfs over 250.000 dollar. Dit soort verhalen maakt van cybersecurity ook in andere organisaties plots een prioriteit. Tijdens evenementen met executives is er altijd iemand die al eens met een cyberaanval moest afrekenen. Getuigenissen van peers maken het onderwerp bespreekbaar en zorgen ervoor dat de verantwoordelijkheid stilaan bij de juiste personen ligt.

Focus op C-level, niet alleen op IT

Dat we meer volwassen worden, blijkt ook uit Cybersecurity Awareness Month. Als je ziet waar het initiatief ooit begonnen is, dan staan we vandaag toch veel verder. De populariteit van deze maand zal blijven toenemen, op voorwaarde dat we de juiste thema’s behandelen. Dat lijkt wel goed te zitten, al moeten we ook opletten dat we onze doelgroep niet voorbijfietsen. C-level zit nog steeds met heel basic vragen op het gebied van cybersecurity en daar moeten we hoe dan ook een antwoord op bieden. Door alleen op IT-mensen te focussen komen we nergens, want zij zijn natuurlijk al op de hoogte van de cyberrisico’s en het belang van weerbaarheid.

Weerbaarheid is bovendien geen afvinkoefening waar we ons één keer per jaar mee bezighouden, maar een continu proces dat dagelijks aandacht verdient. Vroeger werd een probleem al te gauw in de schoenen van IT geschoven, omdat het een digitale kwestie was. Dat kan nu niet meer. De hele organisatie is digitaal en dus valt cybersecurity onder het portfolio van de directie. Beveiliging gaat meer dan ooit over risico’s, relevantie en ROI.

Leren uit cyberincidenten

Op die manier valt het onderwerp dus volledig binnen de scope van C-level, en vaak ontbreekt het daar aan kennis. Bedrijven zijn in sneltreinvaart digitaal geworden, maar in de gemiddelde board zijn pakweg zeven op tien niet mee. Gelukkig zien we veel bereidheid om te leren. Meer volwassen organisaties hebben daarom een CISO of CTO in het bestuur opgenomen. Iemand die de board vertrouwt en die andere bestuurders wegwijs kan maken in de digitale wereld. Iemand die uitlegt wat de risico’s zijn en hoe de organisatie zich daartegen kan wapenen.

Deze versturen we 3-4x per jaar.