Taalbarrière

Waar gebeurd: een CISO vroeg de directie om een forse investering in cybersecurity. Een van de directieleden stelde de vraag ‘Zijn we dan veilig?’ De CISO vond dat een belachelijke vraag.
De vraag is hoe lachwekkend die vraag dan wel is. De directeur stelt terecht de kwestie aan de orde wat de gevraagde investering gaat opleveren, wat de waarde ervan is. De CISO interpreteerde het als een vraag naar de bekende weg. Absolute veiligheid bestaat immers niet.
Zoals je yin en yang hebt, oost en west, Venus en Mars, zo heb je ook business en IT. Zonder een gemeenschappelijke taal over cybersecurity zal de directie uit angst voor het onbekende instemmen met investeringen, of die weigeren als het geld er even niet is. Dat is natuurlijk geen manier van werken. Althans, het criterium voor al of niet investeren is niet goed en de opbrengst van de investering zal voor de directie niet duidelijk zijn.

De gemeenschappelijke taal die er moet komen, is de taal van het risicomanagement. De business moet besluiten welke investeringen gedaan worden om bepaalde risico’s te mitigeren. Gartner spreekt in dit verband van protection level agreements. Zulke PLA’s maken duidelijk welke risico’s de organisatie bereid is te nemen en geven daarmee de CISO argumenten in handen zodra zich een risico voordoet dat volgens de PLA onacceptabel is.

Als ik met CISO’s van grotere organisaties praat, merk ik dat ze meestal op een vergelijkbare manier werken. Ze communiceren over bedrijfsrisico’s en spreken de taal van de boardroom: hun werkwijze zou gemeengoed moeten worden.