Vier op de vijf cyber­se­cu­rity-leiders wereld­wijd én in België voelen druk vanuit de board­room om cyberrisico’s voor het bedrijf te minima­li­seren. Dat blijkt uit een onder­zoek van Trend Micro. Wanneer de experten duide­lijk willen maken dat IT een ernstig bedrijfs­ri­sico vormt, worden ze door de directie niet serieus genomen.

“De helft van de Belgi­sche IT-bevei­li­gings­ver­ant­woor­de­lijken zegt dat cyber­drei­ging het grootste risico voor het bedrijf is. Maar ze krijgen dat niet duide­lijk uitge­legd aan hun directie. Ze worden genegeerd, geklei­neerd of er wordt hen gezegd dat ze zeuren”, zegt Pieter Molen, Technical Director bij Trend Micro Benelux. “Als ze er niet in slagen om beter samen te werken met de bedrijfs­lei­ding, zal de cyber­veer­kracht van het bedrijf daaronder lijden. De eerste stap is het bereiken van een Single Source of Truth over het gehele aanvalsoppervlak.”

De belang­rijkste reden om de ernst van een cyber­ri­sico te bagatel­li­seren komt voort uit de bezorgd­heid om onjuiste aanbe­ve­lingen te doen, meldt 43% van de Belgi­sche IT-security verant­woor­de­lijken. Van zij die ook druk voelen vanuit hun directie, zegt 41% dat ze gezien worden als overdreven negatief. 33% krijgt te horen dat ze in herha­ling vallen en zeuren. En 4 op de 10 beweren dat ze zonder meer worden afgewezen.

Dit wijst op een grote geloof­waar­dig­heids­kloof. Bedrijven slagen er niet in om cyberrisico’s op hetzelfde niveau te krijgen als andere bedrijfsrisico’s. 42% zegt dat wanneer ze de zakelijke waarde van hun cyber­be­vei­li­gings­stra­tegie hebben kunnen meten, ze plots wel met meer geloof­waar­dig­heid worden bekeken.

Die aanpak heeft voor IT-security-verant­woor­de­lijken nog meer voordelen:

• ze krijgen meer verant­woor­de­lijk­heid (39%)
• hun functie wordt meer gewaar­deerd (40%)
• er wordt meer budget vrijge­maakt (39%)
• ze zijn vaker betrokken bij senior besluit­vor­ming (39%)

Toch heerst er vandaag nog steeds een enorme commu­ni­ca­tie­kloof tussen IT en de zakelijke leiding.

Slechts de helft (50%) van de respon­denten heeft er vertrouwen in dat hun directie de cyberrisico’s waarmee de organi­satie wordt gecon­fron­teerd volledig begrijpt – een cijfer dat sinds 2021 nauwe­lijks is veran­derd. Ruim een derde (36%) van de respon­denten zegt dat cyber­be­vei­li­ging nog steeds wordt gezien als onder­deel van IT en niet als bedrijfsrisico.

Boven­dien denkt 39% dat alleen een ernstige inbreuk en media-aandacht voor die breuk (38%) het bestuur ertoe zou aanzetten krach­tiger op te treden tegen cyber­ri­si­co’s. De hetero­gene cyber­be­vei­li­gingsom­ge­ving kan deze uitda­gingen verer­geren. Omdat verschil­lende puntop­los­singen op het hele aanvals­op­per­vlak naast elkaar werken, ontstaan er incon­sis­tente datapunten. Zo wordt het moeilijk om een duide­lijk verhaal over cyberrisico’s aan het bestuur over te brengen.

Meer dan de helft (53%) van de respon­denten vindt dat ze meer IT-commu­ni­ca­tie­vaar­dig­heden nodig hebben om de situatie recht te zetten. Een uniform Attack Surface Risk Manage­ment (ASRM)-platform zou de noodzaak van zulke forse inves­te­ringen kunnen wegnemen, door in de vorm van een execu­tive dashboard consis­tent en overtui­gend risico-inzicht te leveren.

Kijk hier voor meer info over het onderzoek.

Foto: Philipp Katzen­berger via Unsplash