Techreus Microsoft kondigde eerder dit jaar aan de beloning van topmanagers voor een deel afhankelijk te maken van hun prestaties als het gaat om cybersecurity. Is dit een maatregel die vooral goed is voor de bühne of draagt een financiële prikkel wel degelijk bij aan het versterken van de security? We legden deze stelling voor aan een drietal security-experts: Guido Gerrits van Thales, Lex Borger van Tesorion en Jeroen Hentschke van Telindus.
Microsoft kreeg eerder dit jaar een tik op de vingers van de Cyber Safety Review Board (CSRB), de cybersecurity toezichthouder in de VS. Het ging om een kwetsbaarheid in Microsoft Exchange Online, waardoor zo’n 60.000 e-mailadressen van het Amerikaanse ministerie van Buitenlandse Zaken konden worden buit gemaakt. Deze cyberdiefstal, zie al in 2023 plaatsvond, zou ‘vermijdbaar zijn geweest en had nooit mogen gebeuren’, aldus het rapport. De CSRB zette Microsoft aan om fundamentele keuzes te maken om als organisatie meer te focussen op security. Het antwoord van de techreus liet niet lang op zich wachten. In een reeks van extra securitymaatregelen (Secure Future Initiative) valt één besluit op: Microsoft gaat topmanagers afrekenen of belonen op hun prestaties op het gebied van security.
Bewustzijn bij topmanagers aanwakkeren
Het lijkt erop dat deze maatregel in de eerste plaats bedoeld is om het bewustzijn bij topmanagers aan te wakkeren. Security is net zo belangrijk als duurzaamheid en omzetdoelstellingen. “Het algemene security bewustzijn gaat over zaken als phishing herkennen, sterke, unieke wachtwoorden gebruiken, de noodzaak tot updaten van software. Het security bewustzijn van een bestuurder omvat meer. Dan gaat het ook om het bekend zijn met de assets die risico lopen, wat daaraan gedaan wordt en hoe succesvol de organisatie collectief is in het voorkomen van security-incidenten. Dat is een heel andere focus”, legt Lex Borger uit, Information Security Consultant bij Tesorion.
> LEES OOK: Ook gemeenten moeten aan de slag met NIS2
Bestuurders en security
Over het algemeen neemt dat bewustzijn toe, ziet Borger. “Twintig jaar geleden kreeg je de bestuurder niet te spreken over security, tien jaar geleden kon je hem of haar te woord staan, maar ging het inhoudelijk nergens over. Nu willen bestuurders echt meer weten over de staat van security binnen de organisatie.”
Jeroen Hentschke, Propositie lead Security bij Telindus, ziet het bewustzijn rond security vooral toenemen door nieuwe wet- en regelgeving, zoals:
- NIS2: De Europese Netwerk- en Informatiesystemen Richtlijn, die in Nederland wordt omgezet in de Cyberbeveiligingswet (Cbw).
- BIO 2.0: Baseline Informatiebeveiliging Overheid 2.0.
- DORA: Digitale Operationele Veerkracht Verordening.
Deze regels verplichten organisaties om een bepaald niveau van risico- en securitymanagement aan te brengen. “Daarnaast zijn er talloze voorbeelden in het nieuws geweest van organisaties die veel schade hebben geleden naar aanleiding van een cyber-incident. Dit zet je toch aan het denken. Ten slotte zien we een nieuwe generatie die op managementniveau actief is, wat inherent een bepaald niveau van bewustzijn met zich meebrengt.”
> LEES OOK: Hoe gaan ondernemingen hun toekomst veiligstellen in een wereld vol dreigingen?
Groeiende focus op security
Guido Gerrits, VP Workforce Authentication bij Thales, ziet een groeiende focus op security, zeker nu de dreiging van cyberaanvallen wereldwijd sterk toeneemt. “Het gevolg hiervan is onder andere dat organisaties en autoriteiten zich de vraag stellen: beschermen de securityproducten die we gebruiken ons nog voldoende? Dekken deze oplossingen het complete ecosysteem of zijn ze er alleen om vinkjes te kunnen zetten?”
Belonen voor goed securitygedrag
Zou het dan helpen om het bewustzijn rondom security te verbeteren door topmanagers te belonen of af te rekenen op de security prestaties van hun team, afdeling of divisie? Jeroen Hentschke gelooft dat in specifieke situaties, en afhankelijk van het type bedrijf en de functie van de medewerker, een beloning zeker kan bijdragen aan een hoger niveau van cybersecurity doelstellingen. Daarbij liggen softwareontwikkelaars (zoals Microsoft) volgens hem voor de hand. “Daar kunnen allerlei maatregelen en controlemechanismes gehanteerd worden om het produceren van veilige software te bevorderen.”
Overtuigd is Hentschke niet: “Je kunt je afvragen of het belonen van securityprestaties er écht toe leidt dat het niveau van security verhoogd wordt. Je loopt het gevaar dat de beloning zelf het doel wordt, waardoor het aantrekkelijk wordt om geitenpaadjes te bewandelen die enkel op papier iets toevoegen.”
> LEES OOK: Het CCV en CYRA gaan samenwerking aan om mkb cyberweerbaar te maken
Checklist motivatie en compliance denken voorkomen
Lex Borgers is het met hem eens. Als je een manager een echt business doel geeft om te bereiken, zoals fraude terugdringen, en je geeft hem voldoende mandaat om dat ook te kunnen bereiken, dan bevorder je innovatie en productiviteit. “Maar als je een manager een aantal controls geeft om zijn werk ‘goed’ uit te voeren, dan gaat hij zich erop richten om dat, en alleen dat, te doen. Dit noemen we checklist motivatie en compliance denken. De resultaten die je krijgt zijn niet innovatief en soms niet eens effectief. Immers, het doel is niet ‘veiliger worden’ maar ‘voldoen aan de checklist’ en het incasseren van de bonus. En als een manager denkt hij geen invloed kan uitoefenen op het doel, dan krijg je onverschilligheid.” Hoe dan ook, een onwenselijke situatie.
Veilige werkomgeving voor medewerkers
Guido Gerrits merkt terecht op dat er al (Europese) regelgeving bestaat die topmanagers persoonlijk verantwoordelijk houdt voor nalatigheid. “Dit is echter moeilijk te bewijzen en daardoor niet sterk genoeg. Een combinatie van strengere regelgeving en beloningen voor goed gedrag zal het meest effectief zijn. Voor bedrijven is er al een stimulans om het beste jongetje van de klas te zijn als het gaat om veiligheid. Je kunt je namelijk onderscheiden door te investeren in security waarbij de focus ligt op het creëren van een veilige werkomgeving voor medewerkers.”
Op deze manier kun je toewerken naar een situatie waarbij security deel uitmaakt van het DNA van de organisatie. “Zonder goede veiligheid (en privacy) verliezen organisaties hun bestaansrecht. Als werknemers niet de noodzaak voelen om op een veilige manier te werken, zal een financiële prikkel geen langdurige oplossing zijn voor dit probleem”, aldus Gerrits.
> LEES OOK: 63 branches verenigen zich ter ondersteuning Europese cybersecurity richtlijn (NIS2)
Financiële prikkels voor organisaties niet voor individuen
Jeroen Hentschke beaamt dat de negatieve financiële prikkel in de vorm van een boete al jaren gehanteerd wordt. “Dit moet in stand blijven om organisaties die de boel verwijtbaar niet op orde hebben ertoe te bewegen om maatregelen te treffen.” Hij heeft minder fiducie in financiële prikkels voor individuen in de vorm van een beloning of bonus. “De groeiende bewustwording van de markt leidt ertoe dat organisaties die security als strategisch onderdeel van hun bedrijfsvoering toepassen, de voorkeur krijgen om zaken mee te doen. Dat is een veel gezondere en duurzamere drijfveer voor organisatie om serieus met security om te gaan.”
Security wordt meer en meer een business enabler
De conclusie is dat de keuze van Microsoft om medewerkers te belonen, voor inspanningen die bijdragen aan het realiseren van een hoger niveau van cybersecurity, onderstreept dat security langzaam maar zeker een business enabler aan het worden is. De security-experts zijn het erover eens dat boetes voor organisaties die hun zaakjes niet op orde hebben ervoor zorgen dat de druk op de ketel blijft. Het belonen van individuele managers kan nadelige gevolgen hebben als dit resulteert in een vinkjescultuur. Maar, besluit Lex Borgers, resultaten in het bedrijfsleven draaien op de een of andere manier altijd om geld, dus het is bevorderlijk. “Managers zien kansen en bedreigingen en een beloning of straf komt gewoon op die hoop te liggen. Het is net zoals verduurzaming bevorderen met subsidies en boetes. Dus: niet noodzakelijk, maar het helpt wel.”
Volg Security Management op LinkedIn