Vragen die je als bestuurder kunt stellen aan de CISO
Doelgroep:
Dit artikel is geschreven voor bestuurders die behoefte hebben om grip te krijgen op de uitvoering van maatregelen op het gebied van cyberbeveiligingsrisico’s en de samenwerking met de CISO te verbeteren.
In samenwerking met:
Ministerie van Economische Zaken en Klimaat, ABN AMRO, Tesorion, CIO Platform Nederland, CIZ, Dutch Institute for Vulnerabilty Disclosure, Dunea, Cyberveilig Nederland, Online Trust Coalitie.
Intentie en randvoorwaarden
Het beoogde doel van dit artikel is het samenbrengen van jou, de bestuurder en de CISO om de bestaande onderlinge band te versterken. Hierbij zijn een paar punten ter overweging:
- De vragen in dit artikel zijn geen vragen die een keer gesteld worden om een checklist af te vinken. Ze dienen puur als middel om de gesprekken tussen CISO en bestuurder vorm te geven.
- Deze vragen zijn niet de enige onderwerpen waarover gesproken kan of moet worden. Elke organisatie is uniek en zodoende kan het zijn dat niet alle vragen passend zijn voor jouw organisatie. Het kan natuurlijk ook voorkomen dat naast deze vragen er nog meer onderwerpen en vragen relevant zijn binnen de organisatie.
- Het kan zijn dat binnen de organisatie OT-systemen voorkomen. De verantwoordelijkheid van OT-systemen ligt niet altijd bij de CISO. In dat geval is het van toegevoegde waarde om de persoon die hier wel verantwoordelijk voor is te betrekken bij het gesprek of hier apart een gesprek mee te voeren.
Thema 1. Veiligheidscultuur
Met als hoofdvraag “Hoe zorg jij als CISO voor een positieve veiligheidscultuur met betrekking tot cybersecurity en hoe kan ik als bestuurder hieraan bijdragen?” richt deze vraag zich op de cultuur van de organisatie. Het succesvol borgen van cybersecurity binnen een organisatie valt of staat met de medewerkers. Bij een positieve veiligheidscultuur kan er gedacht worden aan een omgeving waarin medewerkers geen drempel ervaren bij het bespreekbaar maken van zorgen en waarin medewerkers bewust en alert zijn. Ze worden niet veroordeeld en gestraft voor fouten, maar worden aangemoedigd om van fouten te leren. Een positieve veiligheidscultuur kan leiden tot een open aanspreekcultuur op onveilig gedrag en een constructieve dialoog over veilig en wenselijke gedragingen. Een goed voorbeeld vanuit de bestuurder draagt hier positief aan bij.
Hieronder staan een aantal voorbeeldvragen die kunnen helpen om over dit onderwerp een diepgaander gesprek te voeren.
- In hoeverre is er binnen de organisatie sprake van een positieve veiligheidscultuur?
- Wat is er (nog) nodig om een positieve veiligheidscultuur te creeëren?
- In hoeverre is er managementsupport voor een (security-)melding?
- Wat kan ik als bestuurder doen om te zorgen voor een positieve veiligheidscultuur?
- Hoe hoog is het aantal veiligheidsmeldingen en hoe kunnen we als organisatie onze meldingsbereidheid verhogen?
- Welke veilige escalatiemogelijkheden zijn er voor de medewerkers als een melding onvoldoende prioriteit krijgt?
De publicatie Voorbij de e-learning bied leidende principes waarmee je veilig digitaal gedrag van de medewerkers in jouw organisatie bevordert.
Thema 2. Kennis en vaardigheden
Met als hoofdvraag “In hoeverre beschik ik over de juiste kennis en vaardigheden met betrekking tot cybersecurity om er zeker van te zijn dat onze digitale weerbaarheid op een passend niveau is?” is het nodig dat de bestuurder en de CISO dezelfde taal spreken. Deze vraag is erop gericht om de bestuurder te helpen met het in kaart brengen van de kennis en vaardigheden nodig voor het nemen van verantwoordelijkheid. Tegelijkertijd kan deze vraag de CISO helpen bij het goed uitleggen van de boodschap aan de bestuurder.
Hieronder staan een aantal voorbeeldvragen die kunnen helpen om over dit onderwerp een diepgaander gesprek te voeren.
- Over welke kennis en vaardigheden moet ik beschikken om mijn rol als bestuurder goed in te kunnen vullen?
- Wat zijn de grootste obstakels op het gebied van kennis waar we ons op moeten richten?
- Wat voor kennisniveau is benodigd binnen de rest van de organisatie?
- In hoeverre zijn opleidingen en trainingen nodig voor de rest van de organisatie?
Thema 3. Verantwoordelijkheid
Met als hoofdvraag “Op welke manier kan ik invulling geven aan mijn verantwoordelijkheid voor cybersecurity binnen de organisatie?” gaat het vooral om eigenaarschap en rolverdeling. Onder de Cyberbeveiligingswet (NIS2-richtlijn) is de bestuurder verantwoordelijk, maar misschien is het niet duidelijk wat die taak eigenlijk betekent. Door het stellen van deze vraag zorg je voor transparantie. Bovendien kun je het gebruiken als een plan van aanpak om vervolgstappen te bespreken en het managen van verwachtingen.
Hieronder staan een aantal voorbeeldvragen die kunnen helpen om over dit onderwerp een diepgaander gesprek te voeren.
- Wat verandert er met de Cyberbeveiligingswet (NIS2-richtlijn) met betrekking tot mijn verantwoordelijkheid?
- Wat zijn de meest urgente zaken waar ik mij op moet richten?
- Wat heb je als CISO van mij nodig om voldoende grip op jouw eigen taken, bevoegdheden en verantwoordelijkheden (TBV) te hebben?
- Hoe kunnen we onze TBV'n voor ons allebei duidelijker maken?
- Wat heb je nodig om ervoor te zorgen dat het management voldoende mensen en middelen toewijst om de doelstellingen te realiseren?
- Welk mechanisme is er binnen de organisatie om de cybersecuritystrategie te borgen en goedkeuring van beleid rondom risicomanagement door management?
Thema 4. Aandacht management
Met als hoofdvraag ”Welke onderwerpen met betrekking tot cybersecurity laten we periodiek op de bestuursagenda terugkomen en hoe borgen we de kwaliteit van de informatie en gesprekken over dit onderwerp?” helpen we de bestuurder en de CISO in het duidelijk naar elkaar uitspreken en samen zorgen voor de juiste omgeving waarin op het juiste moment, op de juiste manier over de juiste onderwerpen gesproken waardoor impactvol handelen mogelijk is. Het periodiek toevoegen van cybersecurity aan de bestuursagenda geeft de mogelijkheid om de samenwerking en relatie van de bestuurder en CISO te versterken en zorgt ervoor dat je als bestuurder op de hoogte blijft en de benodigde verantwoordelijkheid kan (blijven) nemen. Cruciaal is dat de CISO aansluit wanneer de onderwerpen met betrekking tot cybersecurity worden besproken met de verantwoordelijke bestuurder.
Hieronder staan een aantal voorbeeldvragen die kunnen helpen om over dit onderwerp een diepgaander gesprek te voeren. Houd rekening met de volwassenheid van de organisatie en wat er nog gedaan moet worden met betrekking tot de form en frequentie van de contactmomenten1.
- Met welke frequentie staat cybersecurity op de agenda om te borgen dat er voldoende voortgang is op dit onderwerp?
- Hoe kunnen we elkaar het beste op de hoogte houden over wat we van elkaar nodig hebben?
- Welke rol en taak heeft de CISO wanneer deze aansluit bij bestuursvergaderingen?
Thema 5. Risico's
Met de hoofdvraag “Hoe zorgen we ervoor dat we de risico’s goed in kaart hebben en weten hoe we deze kunnen beheersen?” wil je weten wat de grootste risico’s zijn voor de organisatie en hoe er naast de CISO, de omgang is vanuit de hele organisatie. Deze vraag biedt focus en creëert een moment om duidelijk de prioriteiten van elkaar te horen om vervolgens een beslissing te nemen.
Hieronder staan een aantal voorbeeldvragen die kunnen helpen om over dit onderwerp een diepgaander gesprek te voeren.
- Wat heeft de CISO nodig om voldoende inzicht te krijgen in de risico’s en dreigingen die we als organisatie lopen?
- Wat moet ik als bestuurder weten om voldoende inzicht te krijgen in de Cybersecurityrisico’s van deze organisatie?
- Worden er ricoanalyses uitgevoerd, zo ja, wat zijn op hoofdlijnen de onderwerpen en uitkomsten van de uitgevoerde risicoanalyses?
- Wat zijn onze grootste risico’s en dreigingen en hebben we hier voldoende grip op?
- Welke van deze risico’s zijn incidenteel en/of structureel?
- Hoe identificeren en berekenen we de kans en impact en hoe maken we onderscheid in de verschillende soorten risico’s en wat voor een rol speel ik hierin?
- Welke restrisico’s zijn er? Zijn deze acceptabel? Zijn de restrisico’s met de toezichthouder besproken?
Thema 6. Te beschermen belangen
Met de hoofdvraag “Hoe bepalen we onze te beschermen belangen en hoe zorgen we ervoor dat die veilig blijven?” is het de bedoeling om inzichtelijk te krijgen wat de huidige getroffen maatregelen zijn voor de te beschermen belangen van de organisatie. Te beschermen belangen zijn zaken die cruciaal zijn voor dienstverlening van jouw organisatie. Voorbeelden van te beschermen belangen zijn: klantgegevens, productiemethoden/bedrijfsprocessen, gegevens over medewerkers, financiële gegevens, bepaalde besturingssystemen of de reputatie van de organisatie. Met deze vraag krijg je als bestuurder inzicht in zowel de te beschermen belangen, de getroffen maatregelen en de overwegingen die hierbij een rol hebben gespeeld.
Hieronder staan een aantal voorbeeldvragen die kunnen helpen om over dit onderwerp een diepgaander gesprek te voeren.
- Wat zijn onze belangrijkste assets en processen?
- Welke maatregelen hebben we getroffen om deze te beschermen? Wat is de status van deze maatregelen en welke moeten nog nemen om tot een acceptabel weerbaarheidsniveau te komen?
- Welke maatregelen nemen we niet en waarom nemen we deze maatregelen niet?
- Wie is er verantwoordelijk voor de getroffen maatregelen?
- Is er een overzicht van de maatregelen die zijn geïmplementeerd om de systemen (inclusief hun fysieke omgeving) en gegevens van de organisatie te beschermen?
- Hoe houden we zicht op uitvoering/naleving van de overeengekomen maatregelen?
- Stel het gaat onverhoopt mis, hebben we dan een noodvoorzieningenplan (back-up/redundancy systemen) en een incident response plan? Zo ja, zien deze eruit?
De publicatie Hoe breng ik mijn te beschermen belangen in kaart? geeft meer inzicht en handvatten om hiermee aan de slag te gaan.
Thema 7. “Continuous in control” proces
Met als hoofdvraag “Hoe richten we ons “continuous in control” proces in voor cybersecurity?” richt deze vraag zich op het onderbrengen van een continu proces voor cybersecurity gebaseerd op analyses, maatregelen, monitoring en evaluaties en niet een eenmalige investering. Het doel van deze vraag is om als bestuurder meer grip te krijgen op de overkoepelende strategie die binnen de organisatie wordt toegepast omtrent cybersecurity, als dit binnen de organisatie plaatsvindt. Anders kan deze vraag dienen als gesprekstarter voor het inrichten van een strategie op cybersecurity.
Hieronder staan een aantal voorbeeldvragen die kunnen helpen om over dit onderwerp een diepgaander gesprek te voeren.
- Hebben wij als organisatie een cybersecuritystrategie? Zo ja, hoe ziet deze eruit?
- In hoeverre zijn onze beheersmaatregelen in lijn met veelgebruikte cybersecurity normen?
- Hoe komen we tot een gedragen continuous in control proces voor cybersecurity binnen onze organisatie?
- Wie hebben we hiervoor nodig en wat is mijn rol, waar kan ik helpen?
Thema 8. Wet-en regelgeving
De hoofdvraag “Als we alles uitvoeren wat we net hebben besproken; voldoen we dan aan de huidige wet- en regelgeving op het gebied van cybersecurity? Wat moeten we mogelijk nog doen?” stel je aan het einde van je gesprek om ervoor te zorgen dat de belangrijkste thema’s zijn besproken en er wordt gewerkt dat de organisatie voldoet aan de huidige wet- en regelgeving. De CISO moet weten wat er van hen wordt verwacht en de juiste tools hebben om de organisatie te voldoen aan de wetgeving en wat de positie is van de organisatie als geheel ten opzichte van de huidige wet- en regelgeving.
Hieronder staan een aantal voorbeeldvragen die kunnen helpen om over dit onderwerp een diepgaander gesprek te voeren.
- Wat heb je nodig als CISO om voldoende te begrijpen wat er van onze organisatie wordt verwacht in het kader van wet- en regelgeving en hoe kan ik je hierbij ondersteunen?
- Welke specifieke maatregelen hebben we al genomen om te voldoen aan de wettelijke vereisten met betrekking tot cyberbeveiliging?
- Wat moet er gebeuren om de huidige tekortkomingen aan te pakken en wat heb jij als CISO van mij nodig?
- Kun je me vertellen hoe onze organisatie omgaat met de aansprakelijkheid van bestuursorganen in geval van het niet naleven van de zorg- en meldplicht zoals beschreven in de NIS2?
- Welke vraag heb ik je niet gesteld, maar zou je wel willen dat ik je gevraagd had?
In het artikel Effectief omgaan met wetten en regelgeving die op organisaties afkomt bieden we praktische handvatten om als organisatie hierin de eerste stappen te zetten.
Empty layout section