Topmanagers van bedrijven zien geen verband tussen ict-risico’s en bedrijfsrisico’s voor hun onderneming. Dat is de belangrijkste conclusie uit het Governance Report 2012 dat securityleverancier RSA samenstelde in samenwerking met het onderzoeksinstituut CyLab van de Carnegie Mellon Universiteit, met vestigingen in Pittsburgh en Silicon Valley. Leidinggevenden blijken geen zicht te hebben op de rol van computersystemen en data binnen hun bedrijf. Zij realiseren zich niet hoe ict-risico’s de bedrijfsresultaten kunnen ondermijnen.
De onderzoekers stelden vast dat in de financiële sector over het algemeen de security- en governance-aanpak een stuk professioneler is geregeld dan in de energie-, ict- en telecomsector en de industrie. Financiële instellingen zijn ook veel beter op de hoogte van de dekking die hun cybercrime-verzekeringen bieden.
Bij het merendeel van de ondervraagden wordt de verantwoordelijkheid voor privacy- en security-zaken nog niet toegewezen aan specifieke personen binnen de organisatie. Daarnaast ontvangt het merendeel van de topmanagers geen periodieke updates over cyberrisico's en -incidenten. Minder dan tweederde van de respondenten geeft aan fulltime personeel in dienst te hebben voor de belangrijkste functies met betrekking tot privacy en security, bijvoorbeeld in de vorm van een chief information security officer, chief security officer, chief privacy offier of chief risk officer.
Minder ver
Bestuurders van organisaties in de VS en Canada zijn overigens minder ver dan het bestuurders in Aziatische en Europese organisaties als het gaat om belangrijke activiteiten rondom privacy en security governance, constateren de onderzoekers van RSA en CyLab.
Securityleverancier RSA is een dochteronderneming van hardwareleverancier EMC. De onderneming levert producten op het terrein van toegangscontrole, encryptie en fraudebescherming.
Rapport
Lees hier het complete rapport (.pdf) van RSA en Carnegie Mellon CyLab.
Op zich geen verrassende, maar wel een verontrustende conclusie:
communicatie-infrastructuren zijn zo geïntegreerd in de bedrijfsprocessen dat een organisaties stil zullen vallen met alle gevolgen van dien:
• geen bruikbaar werkplekapparaat, dus
• geen deelname aan de bedrijfsprocessen, dus
• stagnatie in het werk, dus
• imagoschade, of
• bedrijfsschade, of
• erger: klantenverlies
meestal stopt de gevolg-perceptie bij de eerste twee bullets …..
@ Maarten,
En toch gaat het in eerste instantie om het risico dat organisatie lopen en dus managers moeten zien met hun informatie, waarbij IT als hulpmiddel op de tweede plaats komt.
Wat niet wegneemt dat een goede inrichting van een informatievoorziening, vooral ook het onderdeel IT-infrastructuur, tot het door die managers vooraf vastgesteld, gewenst niveau van continuiteit dient te bieden. Als dat niet zo is hebben de mensen en organisaties die daar verantwoordelijk voor zijn een probleem. Zodra je het over expliciet genomen risico hebt is het weer de organisatie en haar managers zelf die het risico loopt.
Met de kanttekeningen dat de meeste organisaties en dus de meeste managers niet weten welke van hun gegevens informatie zijn, laat staan dat ze in kunnen schatten welke risico’s ze met dit informatie mogen, kunnen of willen lopen. En dat dus ook niet duidelijk kunnen maken aan de mensen die hun informatievoorziening inrichten. En daarmee is de cirkel wel weer rond, maar dan hopelijk wel tijdelijk.
Steven
Het lijkt me het klassieke verhaal van het geen begrip hebben van welke rol IT uiteindelijk speelt in de algehele BI keten en nog steeds wordt gezien als een noodzakelijk instrument i.p.v. strategisch.
Doordat men door deze opstelling en houding IT vaak meent te kunnen gebruiken als post op de begroting.Het voorbije jaar hebben we wat dat betreft al getuige kunnen zien van menig debacle bij overheid en bedrijfsleven waar aanzienlijke consequenties tegenover staan.
PAs wanneer men gaat erkennen dat IT een strategisch onderdeel van de business uit maakt zal men er op een andere manier naar kunnen kijken en beter begrijpen hoe de IT nog beter kan worden ingezet.
Aan de andere kant lijkt me hier ook en duidelijk rol weggelegd voor IT management beter te verhelderen waarom dit alles zo is.
Ik zie een geweldig patroon in artikel en reacties: RSA (van dat onderzoek) levert producten…die erg goed ingezet zouden kunnen worden, wanneer een topmanager wel gaat ziet wat de IT risico’s zijn. Ik zie een belang. En dat is prima, niets mis mee !
Ik herken mij namelijk in de uitkomsten van het onderzoek. De reacties gaan vooral over miskenning van de IT-er, het IT-vak. Daar herken ik mij niet in. Volgens mij ligt daar niet de oorzaak van het -geconstateerde- feit dat topmanagers het risico niet zien. Maar waar dan wel? Dat staat jammer genoeg niet vermeld maar intrigeert mij wel; omdat daar de sleutel ligt voor ons IT-vaklui om topmanagers van de noodzaak te gaan overtuigen. En daar RSA weer een beetje mee te helpen.
Mijn beeld bij het ‘waarom’: wij IT-ers kunnen het risico onvoldoende tastbaar, transparant maken. Daar zijn wij (…) gewoon niet zo goed in, denken dat iedereen begrijpt dat het nodig is. Niet dus. We zullen meer ons best moeten doen om topmanagers de risico’s te laten inzien, in normaal Nederlands.
Als we dat niet kunnen…waarom zou een topmanager dat dan wel kunnen ?