Een security stuurgroep

We komen vaak bedrijven tegen die beveiliging in een eigen segment hebben ondergebracht, waar het niemand anders al te veel kan belasten.
De verantwoordelijkheden worden meestal verdeeld over IT-medewerkers op lager niveau, die tegelijkertijd problemen in de technologische infrastructuur moeten oplossen en beveiligingstaken moeten uitvoeren.

stuurgroep

Door deze concurrerende prioriteiten worden best practices op het gebied van beveiliging vaak over het hoofd gezien.
Beslissingen over beveiliging die door de IT-afdeling worden genomen, worden meestal in een vacuüm genomen, met weinig input van de rest van de organisatie.

Een recent onderzoek onder 400 wereldwijde bedrijfs- en beveiligingsmanagers toonde een aanzienlijke kloof aan tussen de meeste bedrijven en hun cybersecurity. Bovendien had meer dan de helft van de respondenten geen stuurgroep opgericht om cyberrisico’s of de gevolgen daarvan voor het bedrijf aan te pakken.

In veel sectoren is de bedrijfscultuur bijvoorbeeld een belangrijke uitdaging bij de implementatie van de juiste cybersecuritymaatregelen. Ja, cultuur. Hoe beïnvloeden beveiligingsbeslissingen het dagelijks leven van werknemers? Het instellen of herstructureren van een stuurgroep is een waardevolle manier om beveiligingsstrategieën te sturen en tegelijkertijd afstemming met de organisatiecultuur te waarborgen.

De resultaten zijn vaak positief voor alle betrokken partijen, maar vooral voor de mensen die verantwoordelijk zijn voor beveiligingsgerelateerde taken.

80% van de respondenten heeft geen overleg gepleegd met zakelijke gebruikers bij het doen van aankopen op het gebied van cyberbeveiliging of bij het evalueren van de bedrijfsactiviteiten.

Een stuurgroep zou veel tijd moeten besteden aan het bespreken van de culturele impact die cyberrisico’s hebben op de organisatie. Het is bijvoorbeeld heel gemakkelijk voor een cybersecurityprofessional om te zeggen: “Verleng je wachtwoorden naar 14 tekens als beste praktijk”, maar bedrijven moeten de dagelijkse impact begrijpen die langere wachtwoorden hebben op de bedrijfsvoering en de bedrijfscultuur.

Omdat de meeste cybersecurityprofessionals zich richten op risico’s en niet op de bedrijfsvoering, is het cruciaal om belanghebbenden uit de hele organisatie bijeen te brengen om beveiligingskwesties te bespreken en gezamenlijke beslissingen te nemen. Dat is waar de securitystuurgroep een rol speelt.

Wat is een securitystuurgroep?

Een securitystuurgroep biedt een open discussieforum waar vertegenwoordigers namens afdelingen hun zorgen kunnen uiten over bestaande beveiligingsbeleid of invloed kunnen uitoefenen op het opstellen van nieuw beleid. De securitystuurgroep bepaalt het IT-standpunt van de organisatie en laat zien dat het bedrijf zich inzet voor het onderhoud van zijn systemen en uiteindelijk een kosteneffectieve strategie ontwikkelt om systemen en data adequaat te beschermen.

Sommige organisaties hebben al een IT-stuurgroep, wat een uitstekende eerste stap is. Die bestaande stuurgroep zou kunnen worden uitgebreid om zowel IT- als beveiligingsinitiatieven aan te pakken, waarbij de naam wordt gewijzigd in IT/beveiligingsstuurgroep. Dit biedt een effectief forum om een ​​aantal van de veelvoorkomende conflicten over middelen tussen IT en cybersecurity aan te pakken. (Zie het voorbeeld van het charter voor een beveiligingsstuurgroep in de bijlage aan het einde van dit blog.)

Kwetsbaarhedenbeheer is een typisch voorbeeld van een veelvoorkomende kloof tussen IT en beveiliging wat betreft de toewijzing van middelen. Als de beveiligingsafdeling 100 ernstige kwetsbaarheden op het interne netwerk vindt, maar IT is bezig met de implementatie van een nieuwe business intelligence (BI)-tool, wat gebeurt er dan? Aangezien de BI-tool door de business wordt ondersteund, worden alle benodigde middelen daarop ingezet. De kwetsbaarheden worden dus pas verholpen als er weer middelen (voor minder fancy dingen) beschikbaar zijn.

Het gebruik van een security-stuurgroep kan helpen om dit gesprek en deze besluitvorming in een open forum te laten plaatsvinden, waar alle bedrijfsdoelen in overweging worden genomen. De security-stuurgroep besluit vaak om een ​​externe aannemer in te schakelen om de kwetsbaarheden te verhelpen. Het budget en het project om de ernstige kwetsbaarheden te verminderen worden dus goedgekeurd door de security-stuurgroep.

Wie moet een vergadering van de security-stuurgroep bijwonen?

Een security-stuurgroep moet vertegenwoordigers uit de hele organisatie omvatten wiens verantwoordelijkheden aansluiten bij beveiligingskwesties. Bijvoorbeeld:

  • Juridisch adviseur – Om inzicht te geven in wet- en regelgeving
  • Personeelszaken – Om de communicatie met personeel te faciliteren of trainingen te beheren
  • Interne audit – Om te helpen bij het definiëren van beveiligingsstatistieken en het valideren van de naleving
  • Regionale directeuren – Om informatie te verstrekken over lokale problemen waarvan het personeel op het hoofdkantoor mogelijk niet op de hoogte is
  • Projectmanagers – Om ervoor te zorgen dat de vergadering soepel verloopt en de status van actiepunten tussen vergaderingen bij te houden

Veel organisaties houden geen rekening met andere belangrijke spelers die ook deel zouden moeten uitmaken van de commissie. Bijvoorbeeld:
Externe beveiligingsleveranciers zijn uitstekende commissieleden, omdat zij veranderingen in
beveiligingsdreigingen, -technologieën en -strategieën aan uw organisatie kunnen communiceren.

Het uitnodigen van een bestuurslid om de vergaderingen bij te wonen is ook een effectieve strategie, aangezien sommige bestuursleden actief betrokken zijn bij beveiligingskwesties. Een bestuurslid kan helpen de beveiligingsinspanningen het hele jaar door vorm te geven, in plaats van alleen tijdens de korte tijd die gewoonlijk aan beveiliging wordt besteed tijdens reguliere bestuursvergaderingen.

Wat zijn de voordelen van een security-stuurgroep?

Omdat vergaderingen van de security-stuurgroep vertegenwoordigers van meerdere bedrijfsonderdelen omvatten, stellen ze organisaties in staat om meerdere perspectieven te krijgen op elk beveiligingsprobleem. De boekhouding kan bijvoorbeeld de uitdagingen aankaarten die gepaard gaan met het dagelijks inloggen op meerdere applicaties om hun werk te kunnen doen. In dat geval kan de IT-afdeling uitleggen hoe single sign-on-functionaliteit kan worden geïmplementeerd om hun werk te vergemakkelijken. Vervolgens kan een security-expert advies geven over hoe de oplossing veilig kan worden geïmplementeerd. Ten slotte kan de directie de benodigde financiering voor de implementatie van de oplossing goedkeuren.

Nu cybersecuritykwesties constant in het nieuws zijn, vragen directeuren en functionarissen regelmatig om updates over de cybersecurity-initiatieven van de organisatie. Bestuursleden worden overspoeld met vragen over cybersecurity en, gezien hun fiduciaire verantwoordelijkheden, brengen ze doorgaans zaken ter sprake die ze hebben gelezen of van hun collega’s hebben gehoord.

Het afstemmen van vergaderingen van de security-stuurgroep op bestuursvergaderingen – wellicht met een of twee weken ertussen – kan de security-stuurgroep een security-briefing voor bestuursleden voorbereiden, voor het geval zij om een ​​update vragen of specifieke vragen hebben.

Onlangs deelde een bestuurslid bijvoorbeeld een artikel waarin stond dat bijna 50 procent van de organisaties hun systemen binnen een week na een release patcht, waardoor netwerken mogelijk kwetsbaar blijven. Tijdens de security-stuurgroep bespraken IT-leden de cyberrisico’s die gepaard gaan met het patchen van systemen, terwijl bedrijfsleden de operationele risico’s van zo’n snelle patching aankaartten.

Hoewel patches het cyberrisico zullen verminderen, kan de beschikbaarheid van bedrijfskritieke systemen hierdoor ook worden beïnvloed. Uiteindelijk stemde de beveiligingsstuurgroep in met een patchperiode van 30 dagen, maar maakte een uitzondering voor specifieke uitbraken, die zo snel mogelijk gepatcht moeten worden.

Conclusie

Als u denkt dat uw organisatie te kampen heeft met een communicatiestoring op het gebied van beveiliging, kan een beveiligingsstuurgroep de juiste oplossing zijn om alle betrokken partijen samen te brengen. Beveiligingsstuurgroepen zorgen voor draagvlak binnen alle bedrijfsonderdelen en managementniveaus voor beveiligingsbeslissingen. Uiteindelijk maakt dit het voor de beveiligingsafdeling gemakkelijker om problemen aan te kaarten bij de directie en bestuursleden, en verbetert het ook de culturele acceptatie van beveiligingspraktijken.

Bijlage – Voorbeeld stuurgroep opzet

Voorbeeld van de beveiligingsstuurgroep

Dit document stelt een formele beveiligingsstuurgroep in . Dit charter dient als bewijs dat het senior management deze groep de verantwoordelijkheid heeft gegeven voor het beheren van beveiligingsrisico’s bij xxx.

Doel

Deze beveiligingsstuurgroep geeft leiding aan de bescherming van informatieactiva en technologie. De leden van de commissie adviseren over en prioriteren de ontwikkeling van initiatieven, projecten en beleid op het gebied van informatiebeveiliging en treden op als belangenbehartigers van de stakeholders van Watts. Deze commissie is belast met het oplossen van beveiligings- en compliance-risico’s die Watts aangaan.

Sponsoring

Executive sponsor: Janine Voorbeeld, CFO


Bereik

Deze beveiligingsstuurgroep biedt begeleiding en leiderschap om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie binnen Watts te handhaven en te verbeteren.

Commissieleden

De samenstelling van de commissie wordt goedgekeurd door de CFO op basis van de technologische visie en het enthousiasme dat de leden in de commissie brengen. De commissie zal jaarlijks de samenstelling evalueren en wijzigingen aanbevelen
na overweging van de behoefte aan continuïteit en expertise, evenals de noodzaak om verandering te stimuleren en mogelijkheden tot
participatie. Administratieve ondersteuning wordt geboden door de (betreffende) afdeling.

Verantwoordelijkheden van de commissie

  1. Doelstellingen vaststellen voor het informatiebeveiligingsprogramma
  2. De ontwikkeling en evaluatie van systeemwijde informatiebeveiligingsbeleidsregels, -procedures
    en -richtlijnen coördineren
  3. Informatiebeveiligingsprojecten en -initiatieven aanbevelen, beoordelen en prioriteren
  4. Informatiebeveiligingsbehoeften en goede praktijken tussen afdelingen communiceren
  5. Bewustwording en samenwerking tussen het beveiligingsprogramma en de business units bevorderen
  6. De prestaties en effectiviteit van het informatiebeveiligingsprogramma evalueren op basis van risicometingen
    Vergaderschema
    De vergaderingen worden elk kwartaal gehouden op het hoofdkantoor van Watts.

Besluitvormingsmodel

Beslissingen worden genomen op basis van consensus onder de leden. Geschillen worden opgelost door de CFO en de directieleden
die bij de commissie zijn aangesloten.

Agenda

De voorzitter van de commissie stelt een agenda op in overleg met de commissieleden, medewerkers en andere
stakeholders. De conceptagenda wordt op de vrijdag voorafgaand aan de vergadering aan de commissieleden verspreid.

Feedback wordt verwerkt in de definitieve conceptagenda, die ter goedkeuring aan de commissie wordt voorgelegd tijdens de vergadering.
Een voorbeeld van een agenda zou de volgende punten kunnen bevatten:

  • Bespreking van openstaande kwesties van de vorige vergadering
  • Bespreking van eventuele interne beveiligingsproblemen die zich sinds de vorige vergadering hebben voorgedaan
  • Bespreking van eventuele nieuwe externe beveiligingsproblemen die zich sinds de vorige vergadering hebben voorgedaan
  • Prioritering van de openstaande beveiligingsproblemen
  • Toewijzing van verantwoordelijkheden en tijdlijnen voor het oplossen van beveiligingsproblemen