De Britse overheid heeft advies opgesteld hoe chief information security officiers (CISO's) cybersecurity met de directie kunnen bespreken, om zo de benodigde financiering en middelen te ontvangen. Het Britse National Cyber Security Centre (NCSC) is naar eigen zeggen bekend met een 'skills gap' in hoe er op directieniveau toezicht op cyberrisico's wordt gehouden. Om beter te begrijpen waarom directies zich minder met cyberrisico's bezighouden liet de Britse overheidsinstantie onderzoek doen.

Uit het onderzoek blijkt dat er verwarring is over de verantwoordelijkheid voor cybersecurity. Zo denken CISO's dat de directie verantwoordelijk is, terwijl de directie denkt dat dit bij de CISO ligt. Deze onduidelijkheid wordt vergroot door 'een gebrek aan expertise', zoals zestig procent van de deelnemers aan het onderzoek stelt. Vanwege hun eigen beperkte kennis van de risico's, denken directies dat ze niet in staat zijn om het noodzakelijke toezicht te bieden.

CISO's denken op hun beurt dat het niet nodig is om de directie te betrekken, omdat die de technische uitleg toch niet zouden begrijpen. "Zoals het onderzoek laat zien hebben de meeste directieleden geen diepgaande kennis van cybersecurity. Dat is niet hun rol. Aan de andere kant hebben cybersecurityleiders uitgebreide kennis van het domein, maar zijn minder ervaren om technische zaken aan de directie of senior managementteams te communiceren. Als cyberprofessional is het de taak van de CISO om deze kloof te overbruggen en betere resultaten op het gebied van cybersecurity te halen", aldus het NCSC.

De Britse overheidsinstantie heeft vandaag een document gepubliceerd waarin het advies aan CISO's geeft om effectiever met de directie te communiceren. Zo wordt uitgelegd waarom communiceren met de directie belangrijk is, het belangrijk is om het 'publiek' te begrijpen als zaken aan de directie worden uitgelegd, de belangrijkste vragen eerst te beantwoorden, gesprekken op strategisch niveau te voeren en de communicatie duidelijk te laten zijn. Volgens het NCSC helpt dit advies om met de directie te communiceren en zo de vereiste financiering en middelen te ontvangen.