Hoeveel waarde hechten directies aan de beveiliging van hun bedrijfsdata? Price Waterhouse Coopers deed er onderzoek naar onder bijna 10.000 managers en IT-managers in 154 landen. Nu blijkt dat de budgetten voor beveiliging zijn gedaald, terwijl het aantal beveiligingsincidenten juist dramatisch is gestegen. Corporate boardrooms hebben cyberbeveiliging bovendien onvoldoende op het netvlies en negeren problemen. Dat zijn uiterst zorgwekkende conclusies.
Het onderzoek van Price Waterhouse Coopers, getiteld ”Global State of Information Security Survey 2015″ toont glashelder aan dat cyber crime aanzienlijk toeneemt in Europa. Het aantal beveiligingsincidenten steeg met 41 procent ten opzichte van 2013 en het aantal gemelde incidenten steeg met 48 procent. Als je dit uitdrukt in harde cijfers, dan komt dit neer op 117.339 aanvallen per dag. Vergelijk je dit met de situatie in 2009, dan vertegenwoordigt dit een stijging van 66 procent van de jaar-op-jaar ontdekte incidenten. De geschatte gemiddelde financiële schade als gevolg van cybersecurity-incidenten is maar liefst 2,7 miljoen dollar, een stijging van 34 procent ten opzichte van 2013. Ondanks dat blijven de uitgaven aan informatiebeveiliging door bedrijven al vijf jaar lang steken op slechts 4 procent of minder van het IT-budget. Klinkt dat niet als vragen om problemen?
Top-down commitment
De oplossing die in het rapport wordt aangedragen, kunnen we van harte onderschrijven. Er wordt namelijk gesteld dat effectieve bewustwording rondom bedrijfsbeveiliging een top-down commitment en open communicatie vereist. Deze strategie blijkt echter vaak te ontbreken bij organisaties, die vaak pas het nut van beveiliging beginnen te begrijpen op het moment dat ze zelf met een ernstig incident worden geconfronteerd. Slechts 49 procent van de ondervraagde organisaties heeft een team dat regelmatig bijeenkomt om over informatiebeveiliging te praten.
Supply chain
De verantwoordelijkheid voor corporate governance moet voor elk bedrijf beginnen in de bestuurskamer. Daar wordt immers de strategie voor de onderneming uitgezet. De raad van bestuur blijkt echter bij de meeste organisaties niet deel te nemen aan de belangrijkste activiteiten rondom informatiebeveiliging. Daar komt bij dat beveiliging niet alleen een interne aangelegenheid is. In verschillende industriesectoren blijken steeds meer beveiligingsincidenten het gevolg te zijn van ontwikkelingen in de supply chain. Het onderzoek toont aan dat veel respondenten uit de retail- en consumenten-branche hun beveiligingsproblematiek toeschrijven aan dienstenleveranciers en contractanten (23%) en aan partners (45%).
Institutionele beleggers
Gelukkig lijkt de noodzaak van beveiliging nu toch meer onder de aandacht te komen. Grote institutionele beleggers uiten hun bezorgdheid publiekelijk om daarmee aandacht te vragen in de boardrooms. LGIM (Legal and General Investment Management) is een van Europa’s grootste institutionele vermogensbeheerders, die wereldwijd 750 miljard dollar aan vermogen belegt voor meer dan 3.000 klanten. Sasha Sadan, Directeur Corporate Governance van LGIM verwoordde het als volgt in een bedrijfspublicatie: “Cyber security moet net zo worden behandeld als elke andere belangrijke risico waar een onderneming mee wordt geconfronteerd. Het moet niet worden uitbesteed aan subcommissies of gezien worden als een eenvoudige uitbreiding van de IT-afdeling. Wij geloven dat bedrijven belangrijke stappen moeten zetten om hun digitale infrastructuur te beschermen. De raad van bestuur moet de urgentie van het beheren van beveiligingsrisico’s en de risico’s die eraan verbonden zijn, duidelijk communiceren binnen de organisatie. Hiermee wordt de cultuur versterkt en worden protocollen geïntegreerd in verschillende bedrijfsdisciplines zoals sales, marketing en finance.” Dat is heldere taal, en daar sluiten we ons volledig bij aan.
Bron: techpageone.dell.com
