Nederlandse organisaties hebben onvoldoende steun vanuit bestuur rond securityrisico's
Nederlandse organisaties kampen met een gebrek aan voldoende middelen en steun van het bestuur om risico's in het digitale aanvalsoppervlak effectief te meten en te beheersen. Meer dan de helft van de besturen in Nederland beschouwt cybersecurity niet als hun verantwoordelijkheid.
Dit blijkt uit een onderzoek van Trend Micro onder 2.600 IT-managers wereldwijd, waarvan 100 in Nederland. Het doel van het onderzoek is om meer inzicht te krijgen in de houding van deze managers ten opzichte van het beheer van het aanvalsoppervlak (attack surface risk management of ASRM). “Een gebrek aan duidelijk leiderschap ten opzichte van cybersecurity kan een verlammend effect hebben op een bedrijf en leiden tot een reactieve, gefragmenteerde en wispelturige besluitvorming. Bedrijven hebben een CISO (Chief Information Security Officer) nodig om cyberrisico’s te vertalen naar bedrijfsrisico’s”, zegt Pieter Molen, Technical Director Benelux bij Trend Micro. “Willen ze hun cyberweerbaarheid vergroten, dan hebben ze eigenlijk een enkelvoudige informatiebron nodig voor het volledige aanvalsoppervlak, die het bestuur op de hoogte houdt, de risico’s monitort, en op eigen houtje problemen oplost.”
Drie veelvoorkomende maatregelen
Nederlandse organisaties passen vaak de volgende drie maatregelen toe om hun cyberweerbaarheid te vergroten. De percentages zijn echter relatief laag, wat aangeeft dat er nog veel te verbeteren valt op dit gebied:
- Voldoende personeel voor 24/7 cybersecurity (42%);
- Een combinatie van in-house beveiliging en managed services (41%);
- Moderne detectie-oplossingen voor snelle aanvalaanpak (39%).
Wie is verantwoordelijk?
Het wereldwijde onvermogen van bedrijven om een basisniveau van cybersecurity te waarborgen, is te wijten aan een gebrek aan leiderschap en verantwoordelijkheidszin aan de top van de organisaties. In Nederland geeft 55% van de respondenten aan dat hun management cybersecurity niet als een verantwoordelijkheid beschouwt. Slechts 8% is het hier zeer oneens mee.
Daarnaast geven Nederlandse respondenten verschillende antwoorden op de vraag wie verantwoordelijk is voor het verminderen van bedrijfsrisico’s. Dit duidt op een gebrek aan duidelijkheid over de rapportagelijnen. Bijna een derde (32%) is van mening dat de eindverantwoordelijkheid bij de IT-teams ligt.
Dit gebrek aan een duidelijke strategie voor cybersecurity kan verklaren waarom meer dan de helft (62%) van de Nederlandse respondenten aangeeft dat de houding van hun bedrijf ten opzichte van cyberrisico’s inconsistent is en maandelijks verandert.
Zorgen over aanvalsoppervlak
Het onderzoek toont aan dat veel bedrijven hier niet over beschikken. Bijna 89% van de Nederlandse respondenten maakt zich zorgen over hun aanvalsoppervlak. Een derde (34%) is bezorgd over de methode die wordt gebruikt om risicovolle gebieden te identificeren, beoordelen en beheersen, terwijl 19% geen enkele centrale informatiebron heeft.
Lees hier het volledige onderzoek.