Slechts een derde van de bedrijven is 24/​7 bezig met cybersecurity

Trend Micro heeft vandaag een nieuw onderzoek aange­kon­digd waaruit blijkt dat er in bedrijven overal ter wereld een gebrek is aan voldoende middelen en draagvlak bij het bestuur om de risico’s in hun digitale aanvals­op­per­vlak te meten en in te perken.

Trend Micro heeft wereld­wijd 2.600 IT-managers, onder wie 100 Belgische, bevraagd die in kleine, middel­grote en grote bedrijven verant­woor­de­lijk zijn voor cyber­se­cu­rity, met als doel meer inzicht te krijgen in hun houding tegenover het beheer van het aanvals­op­per­vlak (attack surface risk mana­ge­ment of ASRM).

Dit waren de drie hiaten in cyber­weer­baar­heid die de Belgische respon­denten het vaakst aanhaalden:

• voldoende personeel om de klok rond en elke dag van het jaar te voorzien in cyber­se­cu­rity – bij slechts 36% van de bedrijven was dit in orde;
• ASRM-tech­nieken om de risico’s in het aanvals­op­per­vlak te meten (31%);
• het gebruik van beproefde regel­ge­vende en andere kaders zoals het NIST Cyber­se­cu­rity Framework (26%).

Het onver­mogen van bedrijven wereld­wijd om te zorgen voor een basis­ni­veau van cyber­se­cu­rity kan worden terug­ge­voerd op een gebrek aan leider­schap en verant­woor­de­lijk­heidszin aan het hoofd van die orga­ni­sa­ties. De helft van de Belgische respon­denten (53%) zei dat hun mana­ge­ment cyber­se­cu­rity niet tot zijn verant­woor­de­lijk­heden rekende.

Bovendien gaven deze respon­denten uiteen­lo­pende antwoorden op de vraag wie verant­woor­de­lijk is of zou moeten zijn voor de inperking van bedrijfsrisico’s. Dat wijst op een gebrek aan duide­lijk­heid over de rappor­ta­ge­lijnen. Bijna een derde (29%) zei dat de eind­ver­ant­woor­de­lijk­heid bij de IT-teams ligt.

Dit gebrek aan een recht­lij­nige strategie voor cyber­se­cu­rity kan de reden zijn waarom meer dan de helft (60%) van de Belgische respon­denten klaagde dat de houding van hun bedrijf tegenover cyberrisico’s incon­sis­tent is en maan­de­lijks verandert.

“Een gebrek aan duidelijk leider­schap inzake cyber­se­cu­rity kan een verlam­mend effect hebben op een bedrijf en leiden tot een reactieve, gefrag­men­teerde en wispel­tu­rige besluit­vor­ming. Bedrijven hebben een CISO (Chief Infor­ma­tion Security Officer) nodig om cyberrisico’s te vertalen in bedrijfsrisico’s. Alleen zo zullen ze de interesse van het bestuur kunnen wekken”, zegt Pieter Molen, Technical Director Benelux bij Trend Micro. “Willen ze hun cyber­weer­baar­heid vergroten, dan hebben ze eigenlijk een enkel­vou­dige infor­ma­tie­bron voor het volledige aanvals­op­per­vlak nodig die het bestuur op de hoogte houdt, de risico’s monitort, en op eigen houtje problemen oplost.”

Helaas blijkt uit het onderzoek dat veel bedrijven daar niet over beschikken. Zowat 98% van de Belgische respon­denten maakt zich zorgen over hun aanvals­op­per­vlak. Bijna twee vijfde (39%) maakt zich druk over de methode om gebieden met een hoog risico te ontdekken, beoor­delen en in te perken, en een vierde (25%) heeft geen enkel­vou­dige informatiebron.

Lees het volledige onderzoek hier.