IT-security-leiders krijgen hun boodschap moeilijk tot in de directiekamer overgebracht

Vier op de vijf cyber­se­cu­rity-leiders wereld­wijd én in België voelen druk vanuit de boardroom om cyberrisico’s voor het bedrijf te mini­ma­li­seren. Dat blijkt uit een onderzoek van Trend Micro. Wanneer de experten duidelijk willen maken dat IT een ernstig bedrijfs­ri­sico vormt, worden ze door de directie niet serieus genomen.

“De helft van de Belgische IT-bevei­li­gings­ver­ant­woor­de­lijken zegt dat cyber­drei­ging het grootste risico voor het bedrijf is. Maar ze krijgen dat niet duidelijk uitgelegd aan hun directie. Ze worden genegeerd, geklei­neerd of er wordt hen gezegd dat ze zeuren”, zegt Pieter Molen, Technical Director bij Trend Micro Benelux. “Als ze er niet in slagen om beter samen te werken met de bedrijfs­lei­ding, zal de cyber­veer­kracht van het bedrijf daaronder lijden. De eerste stap is het bereiken van een Single Source of Truth over het gehele aanvalsoppervlak.”

De belang­rijkste reden om de ernst van een cyber­ri­sico te baga­tel­li­seren komt voort uit de bezorgd­heid om onjuiste aanbe­ve­lingen te doen, meldt 43% van de Belgische IT-security verant­woor­de­lijken. Van zij die ook druk voelen vanuit hun directie, zegt 41% dat ze gezien worden als over­dreven negatief. 33% krijgt te horen dat ze in herhaling vallen en zeuren. En 4 op de 10 beweren dat ze zonder meer worden afgewezen.

Dit wijst op een grote geloof­waar­dig­heids­kloof. Bedrijven slagen er niet in om cyberrisico’s op hetzelfde niveau te krijgen als andere bedrijfsrisico’s. 42% zegt dat wanneer ze de zakelijke waarde van hun cyber­be­vei­li­gings­stra­tegie hebben kunnen meten, ze plots wel met meer geloof­waar­dig­heid worden bekeken.

Die aanpak heeft voor IT-security-verant­woor­de­lijken nog meer voordelen:

• ze krijgen meer verant­woor­de­lijk­heid (39%)
• hun functie wordt meer gewaar­deerd (40%)
• er wordt meer budget vrij­ge­maakt (39%)
• ze zijn vaker betrokken bij senior besluit­vor­ming (39%)

Toch heerst er vandaag nog steeds een enorme commu­ni­ca­tie­kloof tussen IT en de zakelijke leiding.

Slechts de helft (50%) van de respon­denten heeft er vertrouwen in dat hun directie de cyberrisico’s waarmee de orga­ni­satie wordt gecon­fron­teerd volledig begrijpt – een cijfer dat sinds 2021 nauwe­lijks is veranderd. Ruim een derde (36%) van de respon­denten zegt dat cyber­be­vei­li­ging nog steeds wordt gezien als onderdeel van IT en niet als bedrijfsrisico.

Bovendien denkt 39% dat alleen een ernstige inbreuk en media-aandacht voor die breuk (38%) het bestuur ertoe zou aanzetten krach­tiger op te treden tegen cyber­ri­si­co’s. De hete­ro­gene cyber­be­vei­li­gingsom­ge­ving kan deze uitda­gingen verer­geren. Omdat verschil­lende punt­op­los­singen op het hele aanvals­op­per­vlak naast elkaar werken, ontstaan er incon­sis­tente data­punten. Zo wordt het moeilijk om een duidelijk verhaal over cyberrisico’s aan het bestuur over te brengen.

Meer dan de helft (53%) van de respon­denten vindt dat ze meer IT-commu­ni­ca­tie­vaar­dig­heden nodig hebben om de situatie recht te zetten. Een uniform Attack Surface Risk Mana­ge­ment (ASRM)-platform zou de noodzaak van zulke forse inves­te­ringen kunnen wegnemen, door in de vorm van een executive dashboard consis­tent en over­tui­gend risico-inzicht te leveren.

Hier vind je meer info over het onderzoek.