Navaio - Beperkt budget en mandaat van de CISO

Wat zijn de belangrijkste cyberveiligheid uitdagingen voor de CISO? Wat zijn de prioriteiten en hoe kan de CISO hiermee omgaan? Cyberveiligheid-expert Rob Musquetier stelde zijn top 3 grootste prioriteiten voor de CISO samen en geeft praktische tips over hoe de CISO hiermee om kan gaan. In dit derde deel uitleg over de drie-na-grootste uitdaging voor de CISO: het beperkte budget en mandaat van de CISO.

CISO-budget en mandaat is beperkt

De takenlijst van de gemiddelde CISO is langer dan die van onze minister-president! Uiteraard is dit al een probleem op zich, maar het probleem groeit in combinatie met een beperkt mandaat. De CISO moet eerst het management, een bestuurder of een CEO overtuigen van de noodzaak van investeringen in cyberveiligheid voordat hij voldoende budget heeft om te kunnen investeren in nieuwe maatregelen. Gevolg is dat toepassing van maatregelen vrijwel altijd langer duurt dan gewenst of zelfs verantwoord is in relatie tot de kans op cyberaanvallen en de kwetsbaarheid van organisaties. Bijkomend nadeel voor de CISO is dat beslissers veel affiniteit hebben met de branche waarin zij werken, maar minder met veiligheidsrisico’s en maatregelen voor cyberveiligheid, waardoor besluitvorming over budgettering lastig is.

Wat kan een CISO doen om het CISO-budget en mandaat te vergroten?

Beslissers schrikken vaak van de hoge kosten voor cyberveiligheid. De CISO moet echter investeren om het hoofd bieden aan dagelijks veranderende cyberdreigingen en het toenemend aantal cyberaanvallen. Bovendien kunnen organisaties zich niet meer verzekeren voor vergoeding van schade veroorzaakt door cyberaanvallen als zij geen passende technische en organisatorische maatregelen hebben. Maar hoe kan de CISO het CISO-budget en mandaat voor cyberveiligheid te vergroten?

Benader het aanvragen van budget voor cyberveiligheid als een business case. Start met het analyseren van de risk appetite: hoe groot zijn de veiligheidsrisico’s en hoeveel risico is het management bereid te nemen? Schets hoe groot de kans op cyberaanvallen is aan de hand van voorbeelden van vergelijkbare organisaties en recente (branche)onderzoeksresultaten;

Leg aan het management/de stakeholders uit dat de term ‘passende technische en organisatorische maatregelen’ juist bedoeld is om te benadrukken dat de context bepalend is voor het feit of maatregelen passend zijn of niet. Zo zijn bij hoog risicoverwerkingen de privacy risico’s groot en daardoor de eisen aan de mate van cyberveiligheid hoog. Verder wordt de context mede bepaald door veranderende gevaren, een CISO moet daarom wel continu investeren om de cyberbeveiliging op peil te houden.

Het is de taak van de CISO om te zorgen dat de organisatie voorbereid is op en opgewassen is tegen cyberaanvallen. Als het CISO-budget en mandaat onvoldoende is om de functie naar behoren uit te kunnen oefenen, dan is het verstandig om dit eerst te bespreken met de Privacy Officeren en/of Functionaris Gegevensbescherming en het vervolgens samen te bespreken met de eindverantwoordelijke directie of bestuurders. Maak duidelijk dat een beperkt budget en mandaat leiden tot een grotere kans op veiligheidsrisico’s.

Relateer het belang van cyberveiligheid direct aan de belangen van en veiligheidsrisico’s voor de doelgroep. Schets de schade die klanten, patiënten en cliënten kunnen ondervinden aan de hand van cases uit jouw branche. Zo is het begrip en de beleving voor het privacy- en veiligheidsrisico ‘identiteitsfraude bij een kwetsbare cliënt’ vaak veel groter dan voor het risico op een boete van de Autoriteit Persoonsgegevens (hoewel het wel om enorme bedragen gaat).

Het budget voor het vergroten van de cyberweerbaarheid is feitelijk gericht op bescherming van de bedrijfscontinuïteit. Juist de vergroting van de cyberweerbaarheid is een gezamenlijke verantwoordelijkheid en topprioriteit. Benadruk als CISO de gezamenlijke belangen, doelen en verantwoordelijkheid. Zo buig je als CISO de perceptie van kostenpost om naar een kans en verplichting om de cyberweerbaarheid van organisatie te versterken en te beschermen.

Onderzoeksresultaten voor een business case zijn makkelijk te vinden, het aantal cyberaanvallen steeg in Nederland met 53% in het eerste kwartaal van dit jaar. De top 3 van meest geraakte sectoren in Q1 2025 Cyberaanvallen stijgen met 53% in Nederland in Q1 2025 | BeveiligingsWereld volgens onderzoek van Beveiligingswereld::

gezondheidszorg met gemiddeld 3.164 aanvallen per week;

consultancy met gemiddeld 1.382 aanvallen per week;

retail/groothandel met gemiddeld 1.179 aanvallen per week.

Waar moet een CISO verder in investeren?

Met een slimme budgetaanvraag is de kans op toekenning van (grotendeels) het gewenste budget aanzienlijk gegroeid. Maar voldoende budget is niet de enige succesfactor voor een goede cyberweerbaarheid. Het betrekken van stakeholders is even belangrijk. Het is goed om minimaal maandelijks te overleggen met de Privacy Officer, Security Officer of (C)ISO, de Kwaliteitsmanager, Klachtenfunctionaris en de Inkoopmanager of Financiële administratie. Het is handig om issues zoals risico’s, incidenten, datalekken en klachten gezamenlijk te bespreken om direct samen een oplossing te bedenken. Er ontstaat immers pas een issue als er sprake is van een afwijking waarbij regelmatig vijf aspecten in meer of mindere mate een rol spelen: security, privacy, kwaliteit, rechtmatigheid en compliance. De oplossing ligt in het gezamenlijk analyseren en adresseren van het issue dat meestal leidt tot acties en een procesaanpassing. Door direct alle benodigde partijen bij het bedenken van mogelijke oplossingen te betrekken, versnel je als CISO het oplossen van issues aanzienlijk!