Ruim een kwart van de onderzochte organisaties heeft recent met een cyberincident te maken gehad. Voor 61% van hen was dit een eyeopener: ze bleken kwetsbaarder dan vooraf gedacht. Meer dan de helft van de respondenten stelde dat niet iedere betrokkene wist wat hij of zij moest doen in reactie op het incident. De respondenten waren er ook niet zeker van dat hun incidentplannen waterdicht zijn. Veel van hen gaven aan dat hun organisaties de plannen niet regelmatig testen en updaten.
Dit is zorgwekkend volgens Richard Bakker, Senior Underwriter Cyber Benelux bij Chubb. “Verreweg de meeste gesprekken over cyberrisico's vinden plaats ná een incident en dat is een gemiste kans.”
Beste aanpak
Over de eindverantwoordelijkheid en de beste aanpak van cyberrisico’s verschillen de meningen:
- 43% van de IT-professionals vindt dat cyberrisico de verantwoordelijkheid van het hoofd IT is, vergeleken met slechts 25% van de risk professionals.
- 63% van de IT-professionals vindt dat een snelle reactie op incidenten beter is dan uitgebreide beschermingsmaatregelen, vergeleken met 53% van de risk professionals.
Om de schade van een cyberincident te beperken, is een strategische aanpak cruciaal. Dat begint bij een duidelijk gedefinieerde eindverantwoordelijkheid. “Het maakt niet uit welke afdeling de leiding neemt, of dat nu IT, Operations, Risk Management of de directie is,” aldus Bakker. “Als er maar iemand is die ondubbelzinnig de eindverantwoordelijkheid heeft. Idealiter is dit iemand met invloed, die silo's kan doorbreken en kan laten zien dat cyberrisico’s de hele organisatie raken.”
Goede communicatie is belangrijk
Het gebrek aan overeenstemming over de aanpak en ernst van cyberrisico’s kan organisaties kwetsbaarder maken. Het probleem kan alleen opgelost worden door betere samenwerking tussen verschillende afdelingen. Maar ook daar schort het in de praktijk aan: slechts 35% van de respondenten vindt dat IT en risk management goed en structureel samenwerken om cyberrisico’s te bestrijden.
De breedste kloof is vaak die van de ernst die mensen aan het risico toeschrijven: zo schatten IT-professionals de impact van een cyberincident ernstiger in dan risk managers, zowel voor wat betreft de directe kosten als voor wat betreft de impact op de reputatie en de relatie met klanten.
Balans tussen mens en techniek
“De realiteit is dat veel organisaties het moeilijk vinden om de mogelijke gevolgen van een cyberincident of -aanval te kwantificeren,” licht cyber underwriter Kim Martins Neto van Chubb toe. “IT en risk management zullen holistisch moeten samenwerken om de verschillende bedreigingen voor hun organisaties en de financiële gevolgen daarvan in te schatten.”
Bakker benadrukt de behoefte aan betere interne communicatie en verwijst daarvoor naar een recent rapport van AIRMIC, de Britse beroepsvereniging voor risk managers. “Zij stelden vast dat risk managers technisch beter onderlegd zouden moeten zijn en dat IT-managers soms verder moeten kijken dan hun eigen vakgebied. Om een front te vormen tegen cyberdreiging is een goede balans tussen mens en techniek essentieel.”
De dreiging
Over welke cyberrisico’s maken ondernemingen zich het meeste zorgen?
- Hackers/cybercriminelen die klantgegevens te pakken krijgen: 40%
- Verlies van data door een systeemstoring, technische of menselijke fout: 30%
- Kwaadwillende partijen die de bedrijfsactiviteiten verstoren: 30%
- Cybercriminelen die gegevens blokkeren en losgeld eisen (ransomware): 28%
- Bedrijfsonderbrekingen door een systeemstoring of technische fout: 26%
Datalek
Meer dan de helft van de respondenten zegt dat hun klantgegevens het grootste risico vormen in geval van een datalek. Dit komt mogelijk omdat op dit soort data een bijzondere focus rust door de Algemene Verordening Gegevensbescherming (AVG) van de EU, die in mei 2018 in werking is getreden, samen met de hogere boetes voor organisaties die de regels overtreden: € 20 miljoen of 4% van de wereldwijde omzet, afhankelijk van welk bedrag het hoogste is.
De zwakste schakel
Risk Managers en IT-professionals blijken het eens over de zwakste schakel in hun cyberveiligheid: werknemers. Maar IT-professionals maken zich vervolgens meer zorgen over de integriteit van hun systemen, en risk managers met name over de eigen beveiligingssoftware.
Top 3 kwetsbaarheden volgens risk professionals
- Onze werknemers: 34%
- Onze beveiligingssoftware: 16%
- De integriteit van onze systemen: 14%
Top 3 kwetsbaarheden volgens IT-professionals
- Onze werknemers: 35%
- De integriteit van onze systemen: 20%
- De verdedigingsmechanismen van onze leveranciers en partners: 12%
Type gegevens
Over welk type gegevens maken ondernemingen zich het meest zorgen?
• Klantgegevens, inclusief betalingsinformatie en persoonsgegevens: 51%
• Vertrouwelijke bedrijfsinformatie: 45%
• Nog niet gepubliceerde financiële resultaten of andere gevoelige gegevens: 42%
• Informatie over intellectuele eigendommen: 39%
• Personeelsgegevens, inclusief salarisgegevens, evaluaties en persoonlijke data: 33%
• E-mailverkeer van managers/bestuurders: 24%
• Gegevens van onderzoek en ontwikkeling: 24%
• Notulen van belangrijke vergaderingen: 22%
• Surveillancegegevens van CCTV-camera’s e.d.: 19%
Dit is een partnerbijdrage van Chubb. Bekijk hier een volledig overzicht van partnerberichten van Chubb.