Een meerderheid van directieleden verantwoordelijk voor het beheer van cyberrisico’s binnen hun organisatie, had het voorbije jaar minder dan één dag de tijd om zich bezig te houden met problemen rond cyberrisico’s.
Deze resultaten staan in een nieuw rapport van Marsh, marktleider in verzekeringsmakelaardij en risicomanagement, en Microsoft Corp., een toonaangevend platform- en productiviteitsbedrijf voor de mobile-first, cloud-first wereld.
Dit tijdsgebrek voor senior leaders om te focussen op cyberrisico’s ontstaat op een moment dat de bezorgdheid over cyberdreigingen een piek bereikt en dat het vertrouwen in het vermogen van een organisatie om cyberdreigingen te beheren is afgenomen, aldus de 2019 Marsh Microsoft Global Cyber Risk Perception Survey. Het wereldwijde onderzoek bij 1.500 organisaties beschrijft de huidige staat van de waargenomen cyberrisico’s en risicomanagement, en is gebaseerd op een soortgelijk onderzoek uit 2017.
Volgens het recente onderzoek beschouwt bijna 80 % van de organisaties cyberdreiging nu als een van de vijf belangrijkste bezorgdheden, vergeleken met 62 % in 2017. Slechts 11 % vertoonde echter meer vertrouwen in het eigen vermogen om cyberdreigingen aan te pakken, cyberaanvallen te voorkomen en doeltreffend te reageren. Dit percentage bedroeg in 2017 nog 19 %.
Voor veel organisaties blijft het strategisch beheer van cyberrisico’s een uitdaging. Terwijl bijna twee derde (65 %) van de onderzochte organisaties een senior executive of de raad van bestuur aanduidde als belangrijkste verantwoordelijke voor het beheer van cyberrisico’s, zei slechts 17 % van c-suite executives en de leden van de raad van bestuur dat ze het voorbije jaar meer dan een paar dagen aan het probleem spendeerden. Meer dan de helft, 51 %, spendeerde verschillende uren of nog minder.
Terwijl 88 % van de respondenten hun IT en infomatieveiligheids verantwoordelijken als de belangrijkste verantwoordelijken voor het beheer van cyberrisico’s identificeerden, verklaarden amper 30 % van de IT-respondenten dat ze het voorbije jaar slechts een paar dagen of nog minder bezig waren geweest met cyberdreiging.
Tegelijkertijd blijven organisaties nieuwe technologieën omarmen, maar heerst er onzekerheid over de bijbehorende risico’s. Drie kwart (77 %) van de respondenten zei dat ze kiezen of hebben gekozen voor cloud computing, robotica of artificiële intelligentie, maar slechts 36 % stelde de cyberrisico’s zowel voor als na deze keuze te hebben geëvalueerd; 11 % evalueert de risico’s al helemaal niet.
Kevin Richards, Global Head of Cyber Risk Consulting, Marsh: 'We zitten volop in het tijdperk waarin men zich bewust is van cyberrisico’s, maar te veel organisaties worstelen nog steeds met het creëren van een sterke cultuur van cyberveiligheid met passende niveaus voor bestuur, prioritering, managementfocus en verantwoordelijkheid. Hierdoor verkeren ze in een nadelige positie zowel bij het opbouwen van cyber resilience als in hun confrontatie met het steeds complexere cyberlandschap.'
Joram Borenstein, General Manager, Cybersecurity Solutions Group bij Microsoft: 'In het tijdperk van transformatietechnologie en meer onderling verbonden toeleveringsketens volstaan de praktijken voor het beheer van cyberrisico’s en de ingesteldheid uit het verleden niet meer en kunnen ze innovatie zelfs afremmen.Het is de verantwoordelijkheid van de senior leaders om te focussen op deze problemen met het oog op het welzijn van hun organisaties, hun klanten, hun medewerkers en daarbuiten.'
Anne-Sophie Coppens, Cyber Practice Leader voor Marsh Belux besluit: 'We stellen dezelfde tendensen vast in België: terwijl het besef van het bestaan van het risico stijgt, neemt ook het besef toe dat een perfecte controle over het risico complex is, zeker in acht genomen de belangrijke schadegevallen van de afgelopen maanden. We constateren wel dat dit besef minder binnendringt in de KMO-sector die denkt dat de grotere bedrijven aantrekkelijker zijn voor hackers en waardoor zij zich dus ten onrechte ‘veiliger’ voelen. En bovendien, een cyber risico heeft niet altijd een kwaadaardig opzet, naast hacking is er het realistische risico van de menselijke fout en niemand is daar immuun voor, wat ook de industrie of de omvang van de onderneming is.'