Trend Micro heeft vandaag een nieuw onderzoek aangekondigd waaruit blijkt dat er in bedrijven overal ter wereld een gebrek is aan voldoende middelen en draagvlak bij het bestuur om de risico’s in hun digitale aanvalsoppervlak te meten en in te perken.
Trend Micro heeft wereldwijd 2.600 IT-managers, onder wie 100 Belgische, bevraagd die in kleine, middelgrote en grote bedrijven verantwoordelijk zijn voor cybersecurity, met als doel meer inzicht te krijgen in hun houding tegenover het beheer van het aanvalsoppervlak (attack surface risk management of ASRM).
Dit waren de drie hiaten in cyberweerbaarheid die de Belgische respondenten het vaakst aanhaalden:
- voldoende personeel om de klok rond en elke dag van het jaar te voorzien in cybersecurity – bij slechts 36% van de bedrijven was dit in orde;
- ASRM-technieken om de risico’s in het aanvalsoppervlak te meten (31%);
- het gebruik van beproefde regelgevende en andere kaders zoals het NIST Cybersecurity Framework (26%).
Het onvermogen van bedrijven wereldwijd om te zorgen voor een basisniveau van cybersecurity kan worden teruggevoerd op een gebrek aan leiderschap en verantwoordelijkheidszin aan het hoofd van die organisaties. De helft van de Belgische respondenten (53%) zei dat hun management cybersecurity niet tot zijn verantwoordelijkheden rekende.
Bovendien gaven deze respondenten uiteenlopende antwoorden op de vraag wie verantwoordelijk is of zou moeten zijn voor de inperking van bedrijfsrisico’s. Dat wijst op een gebrek aan duidelijkheid over de rapportagelijnen. Bijna een derde (29%) zei dat de eindverantwoordelijkheid bij de IT-teams ligt.
Dit gebrek aan een rechtlijnige strategie voor cybersecurity kan de reden zijn waarom meer dan de helft (60%) van de Belgische respondenten klaagde dat de houding van hun bedrijf tegenover cyberrisico’s inconsistent is en maandelijks verandert.
“Een gebrek aan duidelijk leiderschap inzake cybersecurity kan een verlammend effect hebben op een bedrijf en leiden tot een reactieve, gefragmenteerde en wispelturige besluitvorming. Bedrijven hebben een CISO (Chief Information Security Officer) nodig om cyberrisico’s te vertalen in bedrijfsrisico’s. Alleen zo zullen ze de interesse van het bestuur kunnen wekken”, zegt Pieter Molen, Technical Director Benelux bij Trend Micro. “Willen ze hun cyberweerbaarheid vergroten, dan hebben ze eigenlijk een enkelvoudige informatiebron voor het volledige aanvalsoppervlak nodig die het bestuur op de hoogte houdt, de risico’s monitort, en op eigen houtje problemen oplost.”
Helaas blijkt uit het onderzoek dat veel bedrijven daar niet over beschikken. Zowat 98% van de Belgische respondenten maakt zich zorgen over hun aanvalsoppervlak. Bijna twee vijfde (39%) maakt zich druk over de methode om gebieden met een hoog risico te ontdekken, beoordelen en in te perken, en een vierde (25%) heeft geen enkelvoudige informatiebron.
Lees het volledige onderzoek hier.