‘Cyberrisico’s moeten hoger op agenda bestuurskamer’

6 augustus 2014 - Vier op de tien bestuurders vindt dat hun board meer aandacht voor cyberrisico’s moet hebben. Ook zegt een meerderheid slechts een basaal begrip te hebben van cyberbedreigingen en heeft 85% het afgelopen jaar geen training gevolgd op dit terrein. Bij slechts 39% van de onderzochte organisaties staat cyberrisico’s in het rijtje met strategische bedrijfsrisico’s. Dit blijkt uit onderzoek van PwC, ondersteund door het Nationaal Cyber Security Centrum, onder 33 bestuurders van grote ondernemingen en instellingen naar de volwassenheid van cyberbeheersing binnen Nederlandse organisaties.

‘Ondanks diverse recente cyberincidenten nemen bestuurders van minder dan de helft van de door ons onderzochte organisaties cyberrisico’s serieus’, zegt cyber security specialist Bram van Tiel. ‘Het bewustzijn van cyberrisico’s en de governance daarvan blijkt opvallend vaak te ontbreken in de bestuurskamer. En als de board wel praat over hoe de organisatie zich kan beschermen tegen cyberaanvallen, is het maar de vraag of de juiste kennis en informatie aanwezig is.’

Andere opmerkelijke onderzoeksresultaten:

  • 29% vindt dat het eigenaarschap van cyberrisico’s bij de CFO thuis hoort, 25% bij het hoofd IT en 14% bij de CEO.
  • 68% denkt dat de board enigszins gekwalificeerd is om innovatie en risico’s te kunnen managen in het digitale tijdperk.
  • 57% van de bestuurders wordt niet periodiek ge-update over potentiële cyberbedreigingen.
  • 40% van de bestuurders heeft een basaal begrip van de belangrijkste digitale bezittingen.
  • 50% stelt dat ze hun mensen stimuleren om informatie met andere organisaties uit te wisselen om zo cyberbedreigingen te mitigeren.

Bram van Tiel: ‘De meeste organisaties onderkennen de dreigingen wel, maar ze zien deze niet als strategisch bedrijfsrisico en onderwerpen hun bestuurders nauwelijks aan trainingen.’ Ook ziet hij dat veel organisaties vasthouden aan een traditionele beveiligingsaanpak. ‘Veel organisaties zijn benauwd om informatie over dreigingen en incidenten te delen met instanties en andere bedrijven in hun sector.’

Volgens Van Tiel moeten bedrijven meer met hun leveranciers en klanten in gesprek over cyber security. ‘Het delen van gevoelige informatie met derden introduceert nieuwe risico’s. Welke leveranciers hebben toegang tot gevoelige data? Zijn er afspraken hoe om te gaan met deze data?’ Van Tiel werkt met internationale collega’s aan een ‘cyberstandaard’ waarmee bijvoorbeeld leveranciers kunnen aantonen dat cyberbeveiliging hun menens is en dus dat ze een goede business partner zijn.