Vier op de vijf cybersecurity-leiders wereldwijd én in België voelen druk vanuit de boardroom om cyberrisico’s voor het bedrijf te minimaliseren. Dat blijkt uit een onderzoek van Trend Micro. Wanneer de experten duidelijk willen maken dat IT een ernstig bedrijfsrisico vormt, worden ze door de directie niet serieus genomen.
“De helft van de Belgische IT-beveiligingsverantwoordelijken zegt dat cyberdreiging het grootste risico voor het bedrijf is. Maar ze krijgen dat niet duidelijk uitgelegd aan hun directie. Ze worden genegeerd, gekleineerd of er wordt hen gezegd dat ze zeuren”, zegt Pieter Molen, Technical Director bij Trend Micro Benelux. “Als ze er niet in slagen om beter samen te werken met de bedrijfsleiding, zal de cyberveerkracht van het bedrijf daaronder lijden. De eerste stap is het bereiken van een Single Source of Truth over het gehele aanvalsoppervlak.”
De belangrijkste reden om de ernst van een cyberrisico te bagatelliseren komt voort uit de bezorgdheid om onjuiste aanbevelingen te doen, meldt 43% van de Belgische IT-security verantwoordelijken. Van zij die ook druk voelen vanuit hun directie, zegt 41% dat ze gezien worden als overdreven negatief. 33% krijgt te horen dat ze in herhaling vallen en zeuren. En 4 op de 10 beweren dat ze zonder meer worden afgewezen.
Dit wijst op een grote geloofwaardigheidskloof. Bedrijven slagen er niet in om cyberrisico’s op hetzelfde niveau te krijgen als andere bedrijfsrisico’s. 42% zegt dat wanneer ze de zakelijke waarde van hun cyberbeveiligingsstrategie hebben kunnen meten, ze plots wel met meer geloofwaardigheid worden bekeken.
Die aanpak heeft voor IT-security-verantwoordelijken nog meer voordelen:
- ze krijgen meer verantwoordelijkheid (39%)
- hun functie wordt meer gewaardeerd (40%)
- er wordt meer budget vrijgemaakt (39%)
- ze zijn vaker betrokken bij senior besluitvorming (39%)
Toch heerst er vandaag nog steeds een enorme communicatiekloof tussen IT en de zakelijke leiding.
Slechts de helft (50%) van de respondenten heeft er vertrouwen in dat hun directie de cyberrisico’s waarmee de organisatie wordt geconfronteerd volledig begrijpt – een cijfer dat sinds 2021 nauwelijks is veranderd. Ruim een derde (36%) van de respondenten zegt dat cyberbeveiliging nog steeds wordt gezien als onderdeel van IT en niet als bedrijfsrisico.
Bovendien denkt 39% dat alleen een ernstige inbreuk en media-aandacht voor die breuk (38%) het bestuur ertoe zou aanzetten krachtiger op te treden tegen cyberrisico’s. De heterogene cyberbeveiligingsomgeving kan deze uitdagingen verergeren. Omdat verschillende puntoplossingen op het hele aanvalsoppervlak naast elkaar werken, ontstaan er inconsistente datapunten. Zo wordt het moeilijk om een duidelijk verhaal over cyberrisico’s aan het bestuur over te brengen.
Meer dan de helft (53%) van de respondenten vindt dat ze meer IT-communicatievaardigheden nodig hebben om de situatie recht te zetten. Een uniform Attack Surface Risk Management (ASRM)-platform zou de noodzaak van zulke forse investeringen kunnen wegnemen, door in de vorm van een executive dashboard consistent en overtuigend risico-inzicht te leveren.
Hier vind je meer info over het onderzoek.
