Je ziet het wel vaker voorbij komen in het nieuws: gegevens gelekt, ransomware aanval, CEO maakt geld over naar cybercriminelen enzovoort.
Maar hoe kan dat nou dat dit zo vaak gebeurt? En wat is nou vaak de root cause?
Het draait vaak met dit soort gevallen om een ding: Communicatie, niet zomaar communicatie maar juist communicatie met stakeholders
Definitie Stakeholder:
Een stakeholder elke persoon, groep, organisatie of entiteit die belang heeft bij of beïnvloed wordt door de beveiliging van informatie, systemen, en gegevens. Stakeholders spelen een rol in het ontwikkelen, implementeren, beheren, of naleven van informatiebeveiligingsmaatregelen, en hun belangen variëren afhankelijk van hun betrokkenheid en verantwoordelijkheden.
Het belang van communicatie
Stakeholders hebben altijd bepaalde verwachtingen en belangen.
Klanten willen bijvoorbeeld weten of hun gegevens veilig zijn, en in het geval van een breach of hun gegevens op straat zijn gekomen of niet.
Medewerkers en ander personeel spelen een belangrijke rol in de wereld van informatiebeveiliging, gezien hun degene zijn die de ogen en oren zijn in het veld, en die de operationele dagelijkse taken uitvoeren.
Daarnaast heb je ook leveranciers die duidelijke richtlijnen nodig hebben.
En als laatste zijn natuurlijk de managers, board of directors en andere leidinggevende.
Buiten het feit om dat het belangrijk is dat personeel weet wat ze moeten doen in het geval van een security incident, is het ook noodzakelijk dat de leidinggevende weten wat er van hen verwacht wordt en wat hun kunnen doen om hun bedrijf weerbaarder te maken tegen cybersecurity incidenten en events.
Zonder communicatie weet men niet wat ze moeten doen en weet men ook niet wat er verwacht wordt van hun, daarom is communicatie zo belangrijk.
Op die manier weet de CEO bijvoorbeeld dat als hij een verdacht mailtje voorbij ziet komen met een vraag om te tekenen of geld over te maken, hier de informatiebeveiliging specialisten erbij dient te halen om het te verifiëren.
Onder communicatie valt ook bijvoorbeeld het rapporten van zwakheden in de systemen zodat de leidinggevenden weten waar aandacht en geld heen moet om de systemen weerbaarder te maken.
Ook valt het stukje budget in deze categorie, gezien er gecommuniceerd dient te worden naar de stakeholders waarom er bepaalde zaken nodig zijn en wat de risico’s zijn als dit niet voldoende ondersteund wordt.
Kortom communicatie is alles.
Uitdagingen en oplossingen
Een van de grootste uitdagingen bij het communiceren in de informatiebeveiliging wereld is dat je wel de juiste taal gebruikt bij de juiste stakeholders.
Wat bedoel ik hiermee?
Geen algemene en brede taal gebruiken bij programmeurs en technisch personeel, en geen technische taal gebruiken bij leidinggevende of stakeholders die weinig tot niets te maken hebben met techniek/ICT.
De reden is eigenlijk heel simpel: ze begrijpen je niet en zullen dan ook niet verder luisteren omdat het iets is wat ze totaal niet begrijpen of interesse in hebben.
Daarom is het belangrijk als bijvoorbeeld ISO of CISO de taal van je stakeholders te begrijpen en op hun niveau te communiceren.
Op deze manier kan je duidelijk maken wat er van hen verwacht wordt of wan hun van jou kunnen verachten.
Daarmee voorkom je ook miscommunicatie wat flinke gevolgen kan hebben mocht dit gebeuren tijdens bijvoorbeeld een incident.
Wat zijn nou best practises die genomen kunnen worden om de communicatie duidelijk en effectief te houden?
- Wees proactief: informeer stakeholders regelmatig over de stand van zaken, ook al er geen dreigingen zijn op dat moment.
- Pas de boodschap aan op je doelgroep: met andere woorden, kijk wie je doelgroep is en gebruik de taal die hun begrijpen, het gaat tenslotte om je bericht door te geven en communiceren dus dan is het noodzakelijk dat de ontvangende partij ook begrijpt waar je het over hebt.
- Creëer een crisiscommunicatieplan: zorg voor een duidelijk en gedefinieerd proces om stakeholders te informeren mocht er een incident zijn, op die manier hoef je geen ad-hoc oplossingen te bedenken.
- Investeer in training en of informatie: zorg ervoor dat medewerkers begrijpen hoe ze duidelijk en effectief met klanten en andere stakeholders kunnen communiceren met betrekking tot informatiebeveiliging kwesties.
- Gebruik meerdere kanalen: Zorg ervoor dat je bericht en communicatie altijd via verschillende kanalen terecht kan komen bij je doelgroep, maak gebruik van e-mail, intranet, Webinars en eventueel persoonlijke bijeenkomsten.
En als laatst:
Effectieve communicatie met stakeholders is een zeer belangrijk en onmisbaar onderdeel van een sterke informatiebeveiliging strategie.
Door de communicatie transparant en duidelijk te houden kunnen stakeholders weten waar ze aan toe zijn en kunnen klanten meer vertrouwen opbouwen.
In een wereld waar informatiebeveiliging dreigen voortdurend veranderen, is communicatie de brug tussen technisch en strategisch belang noodzakelijk maar ook een sleutel tot succes.
