Trend Micro Incorporated kondigt vandaag nieuw onderzoek aan waaruit blijkt dat 90% van de IT-besluitvormers beweert dat hun bedrijf bereid zou zijn in te boeten op cyberbeveiliging ten gunste van digitale transformatie, productiviteit of andere doelstellingen. Bovendien voelde 82% zich ooit al eens onder druk gezet om de ernst van cyberrisico’s te minimaliseren tegenover hun directie.
Lees het volledige verslag via deze link.
“IT-leiders censureren zichzelf tegenover hun directie uit angst om te veel in herhaling te vallen of te negatief over te komen, waarbij bijna een derde zegt dat dit een constante druk is. Maar dit houdt alleen maar een vicieuze cirkel in stand waarbij de C-suite onwetend blijft over de werkelijke blootstelling aan risico’s”, zegt Bharat Mistry, UK technical director bij Trend Micro. “We moeten het over risico’s hebben en cyberbeveiliging zien als een fundamentele aanjager van bedrijfsgroei – en zo IT-managers en bedrijfsleiders bij elkaar brengen die in werkelijkheid allebei voor hetzelfde doel strijden.”
“IT-besluitvormers zouden de ernst van cyberrisico’s nooit moeten bagatelliseren tegenover het bestuur. Maar misschien moeten ze hun taalgebruik aanpassen, zodat beide partijen elkaar begrijpen. Dat is de eerste stap om de bedrijfs- en cyberbeveiligingsstrategie op elkaar af te stemmen, en het is een cruciale stap. Door cyberrisico’s in bedrijfstermen te verwoorden, krijgen ze de aandacht die ze verdienen en wordt beveiliging door de C-suite gezien als een groeimotor en niet als een belemmering voor innovatie”, zegt Phil Gough, Head of Information Security and Assurance bij Nuffield Health.
Uit het onderzoek blijkt dat slechts 50% van de IT-leiders en 38% van de zakelijke beslissers denkt dat de C-suite de cyberrisico’s volledig begrijpt. Hoewel sommigen denken dat dit komt doordat het onderwerp complex is en voortdurend verandert, geloven velen dat de C-suite ofwel niet hard genoeg zijn best doet (26%) of het niet wil begrijpen (20%).
Er is ook onenigheid tussen IT- en bedrijfsleiders over wie uiteindelijk verantwoordelijk is voor het beheren en beperken van risico’s. IT-leiders wijzen bijna twee keer zo vaak als bedrijfsleiders naar IT-teams en de CISO. 49% van de respondenten beweert dat cyberrisico’s nog steeds worden behandeld als een IT-probleem in plaats van een bedrijfsrisico.
Deze wrijving leidt tot potentieel ernstige problemen: 52% van de respondenten is het ermee eens dat de houding van hun organisatie tegenover cyberrisico’s inconsistent is en van maand tot maand verschilt. Toch is 31% van de respondenten van mening dat cyberbeveiliging het grootste bedrijfsrisico van dit moment is, en 66% beweert dat het de grootste kostenimpact heeft van alle bedrijfsrisico’s – een schijnbaar tegenstrijdige mening gezien de algemene bereidheid om compromissen te sluiten op het gebied van beveiliging.
Er zijn drie belangrijke manieren waarop de respondenten denken dat de C-suite zich bewust zal worden van cyberrisico’s:
- 62% denkt dat er een inbraak in hun organisatie voor nodig is
- 62% denkt dat het zou helpen als ze beter zouden kunnen rapporteren over het bedrijfsrisico van cyberdreigingen en dit gemakkelijker zouden kunnen uitleggen
- 61% zegt dat het een impact zou hebben als klanten meer verfijnde beveiligingsreferenties zouden gaan eisen
“Om cyberbeveiliging tot een zaak voor het bestuur te maken, moet de C-suite het als een echte business enabler gaan zien,” besluit Marc Walsh, Enterprise Security Architect bij Coillte. “Dit zal IT- en beveiligingsleiders ertoe aanzetten hun uitdagingen voor de directie te verwoorden in de taal van bedrijfsrisico’s. Daarnaast vereist het geprioriteerde, proactieve investeringen vanuit de directiekamer – niet slechts pleisteroplossingen na een inbraak.”
Trend Micro heeft Sapio Research opdracht gegeven 5321 besluitvormers op het gebied van IT en bedrijfsvoering te interviewen bij ondernemingen met meer dan 250 werknemers in 26 landen.