Een CEO van een grote onderneming heeft vandaag de dag altijd te maken met IT technologie. Wanneer ze de IT strategie bediscussiëren met hun CIO, komt ook de informatiebeveiliging aan bod. Immers, informatiebeveiliging, of populair gezegd cybersecurity is een IT onderwerp dat steeds meer aandacht vraagt. Elke grote onderneming heeft te maken met dit probleem en veel executives hebben nog altijd moeite om de risico’s te begrijpen. Cyberattacks zijn slechts een onderdeel van IT risico. Zo kan ook het falen van een software onderdeel een onderneming veel geld kosten, evenals problemen met toezichthouders.
Bedrijven hebben een begrijpelijk systematiek nodig om IT risico’s te kunnen managen, en dan niet alleen de aanvallen door hackers, maar bijvoorbeeld ook het falen van systemen bij business partners, menselijk handelen of technisch malheur, waarbij de oorzaak geadresseerd kan worden in de techniek, beleid, proces en toezicht. Om hier beter inzicht in te verkrijgen, zijn er vier vragen die beantwoord dienen te worden:
- Begrijpen we de IT risico’s waar we als onderneming mee te maken hebben?
- Hoe reduceren we ons IT risico op een voortdurende basis?
- En, last but not least, wie is er verantwoordelijk voor het toezicht op de IT risico’s.
Vragen, die een information security officer moet kunnen beantwoorden.