Binnen veel organisaties groeit de kloof tussen financiële besluitvormers en security leiders, en die mismatch heeft directe gevolgen voor de cyberweerbaarheid van bedrijven. Uit een nieuw onderzoek van Expel blijkt dat finance en security fundamenteel verschillend kijken naar prioriteiten, risico’s en de waarde van cybersecurity investeringen. Die uiteenlopende percepties zorgen voor miscommunicatie, vertraagde besluitvorming en uiteindelijk verhoogde risico’s.
Security
Het onderzoek, gebaseerd op een enquête onder 300 CISOs, cybersecuritydirecteuren, CFO’s en andere financiële leiders, laat zien dat minder dan de helft van de security leiders, 46 procent, vindt dat hun financiële collega’s sterk zijn afgestemd op de prioriteiten van het securityteam. Financiële leiders zijn nog kritischer: slechts 35 procent meent dat securityteams goed aansluiten bij de prioriteiten van finance. Volgens de onderzoekers versterken deze wederzijdse twijfels bestaande problemen rond afstemming en samenwerking.
Ook op het gebied van risicotolerantie en budgetverwachtingen lopen de meningen uiteen. Waar 71 procent van de securitybeslissers aangeeft dat finance en security hierin volledig of grotendeels op één lijn zitten, deelt slechts 58 procent van de financiële leiders die overtuiging. Finance erkent weliswaar steeds vaker dat cybersecurity bedrijfskritisch is, maar het vertrouwen in de uitvoering blijft beperkt. Slechts de helft van de ondervraagde financiële leiders zegt veel vertrouwen te hebben in het vermogen van hun securityteam om de bedrijfsimpact van cyberdreigingen helder te communiceren of grote cyberincidenten te voorkomen. Nog minder, ongeveer veertig procent, heeft er vertrouwen in dat security structureel is afgestemd op de bedrijfsstrategie.
Kostenpost
Aan de andere kant voelen security leiders zich ondergewaardeerd. Ruim een derde vermoedt dat finance hen vooral ziet als kostenpost of als een noodzakelijke operationele functie, en niet als strategische partner. Volgens Greg Notch, Chief Security Officer bij Expel, ligt de kern van het probleem echter niet bij finance. “Het echte probleem is niet dat finance security als kostenpost ziet, maar dat veel security leiders onvoldoende leren om hun waarde uit te leggen in termen die finance begrijpt”, zo stelt hij.
Uit het onderzoek blijkt dat securityteams bij rapportages aan finance vaak focussen op metrics zoals de impact van daadwerkelijke incidenten, kosten van controles versus potentiële schade, volwassenheidsniveaus van het securityprogramma en risicoreductiescores. Juist die laatste categorie, maturity metrics ten opzichte van benchmarks, blijkt echter weinig relevant voor financiële besluitvorming.
Financiële impact
Volgens Notch moeten security leiders daarom overstappen naar een risicogedreven benadering. Dat betekent concreet maken hoe groot de kans is op een datalek en wat de financiële impact daarvan zou zijn. Vervolgens kan worden uitgelegd hoe een investering van een bepaald bedrag die kans aantoonbaar verlaagt. “Finance neemt de hele dag kosten batenbeslissingen”, zegt hij. “Ze zijn niet bang voor kosten, maar voor kosten die ze niet kunnen kwantificeren.”
De sleutel tot betere samenwerking ligt volgens Expel in het spreken van dezelfde taal. Cybersecurity moet worden gekoppeld aan de KPI’s die voor de business tellen. Pas wanneer securityteams duidelijk maken hoe hun werk bijdraagt aan omzetbescherming, continuïteit en risicobeperking in euro’s en centen, kan de kloof tussen finance en security daadwerkelijk worden gedicht.