Inmiddels hebben bijna alle CISO’s in Nederland de awareness compliance aspecten van BIO, ISO en NIS2 gedekt. Voor Pioneering CISO’s is dat niet voldoende omdat zij een impact maken, een positieve cybersecuritycultuur bouwen en proactief zoeken naar verbeteringen in hun awareness. Zij zijn niet bereid om concessies te doen aan hun veiligheidsambities.
Pioneering CISO’s bouwen door en lossen hun risico’s in drie stappen op:
Stap 1) Ritme en focus
Ze focussen op de uitkomst in plaats van de output. Door risico’s en gedrag te onderzoeken begrijpen ze de status quo. Velen benchmarken zichzelf met andere organisaties. De prioriteiten zetten ze om in een strategie.
Stap 2) Grote impact, minimale tijd
Dan vertalen ze de strategie in een flexibel programma dat de context van hun organisatie ademt. Daarbij kiezen zij voor een optimale mix van online en offline activiteiten en minimaliseren ze de tijdsbesteding van medewerkers.
Stap 3) Activiteiten waar mensen aan mee willen doen
Ze vergroten de impact van elke activiteit met positieve energie, commitment en interactie. Vervolgens spelen ze in op momentum en intern eigenaarschap. Ze blijven meten en sturen bij om gedragsverandering zo groot mogelijk te maken.