Cyberrisico krijgt onvoldoende aandacht van bestuur en managers
29-02-2012
Deel dit artikel:

Cyberrisico krijgt onvoldoende aandacht van bestuur en managers


Uit de resultaten van het laatste 2012 Cargenie Mellon CyLab Governance onderzoek blijkt dat cyberrisico's nog onvoldoende aandacht krijgen van de top van organisaties. Het onderzoek wordt gesponsord door RSA, de security divisie van EMC. Bovendien blijkt uit vergelijkingen met gegevens uit 2008 en 2010 dat er nog steeds gaten zijn in governance. Art Coviello, Executive Chairman van RSA, doet een beroep op de industrie om traditionele beveiligingsmethoden te heroverwegen. Daarnaast raadt hij betrokken partijen aan beveiligingsstrategieën te verbeteren en samen te werken om nieuwe methodes voor informatiebeveiliging te ontwikkelen.

Met behulp van de Forbes Global 2000-lijst is een analyse gemaakt die de houding van het bestuur ten opzichte van cybercrime van grote organisaties over de hele wereld in kaart brengt. Een van de meest belangrijke bevindingen is dat bestuur en senior management zich nog niet bezighouden met belangrijke toezichthoudende activiteiten. Voorbeelden daarvan zijn het opzetten van hoogste niveau beleidsmaatregelen en het veiligstellen van privacy- en security-budgetten voor een optimale bescherming tegen cyberinvallen en het inperken van financiële verliezen. Ook al zijn er een aantal verbeteringen zichtbaar in reguliere governance-toepassingen; ruim 75 procent geeft aan dat hun bestuur en senior management nog geen basisverantwoordelijkheden nemen met betrekking tot cyber governance.

Hoewel de samenstelling van Risico Comités en overlappende teams  binnen organisaties zijn verbeterd, geeft bijna de helft van de respondenten aan dat hun organisatie geen fulltime personeel in dienst heeft voor de belangrijkste privacy en veiligheidsrollen. Daarnaast zegt 58 procent dat het bestuur niet de verzekeringsdekking van hun organisatie herziet voor eventuele cyberrisico's.

Aanbevelingen
Om het algemeen bestuur te helpen de corporate governance van privacy en veiligheid te verbeteren, zijn er een aantal aanbevelingen in het onderzoeksrapport opgenomen:

  • Bepaal het niveau voor privacy en veiligheid door middel van een hoogste niveau beleidsmaatregelen.
  • Definieer en beoordeel rollen en verantwoordelijkheden voor privacy en veiligheid en zorg ervoor dat ze worden toegewezen aan gekwalificeerde, fulltime professionals. Bovendien moet risico en verantwoordelijkheid worden gedeeld met de hele organisatie.
  • Zorg voor regelmatige informatiestroom naar het senior management en het bestuur over privacy en veiligheidsrisico's, waaronder cyberincidenten en -aanvallen.
  • Controleer de jaarlijkse IT-budgetten voor privacy en veiligheid, los van de budgetten van CIO's.
  • Voer jaarlijkse evaluaties uit van het enterprise security programma en efficiëntie van controles. Noteer de bevindingen en zorg ervoor dat gaten en tekortkomingen worden aangepakt.
  • Weeg de verzekeringsdekking af tegen het risicoprofiel van de organisatie. Is het gedekt tegen mogelijke cyberincidenten? 
"Nieuwe generaties cybercriminelen en hackers zijn experts geworden in het uitbuiten van de zwakke plekken van onze digitale wereld terwijl onze klanten er nu juist de waarde van inzien," zegt Coviello. "Met de toegenomen snelheid, flexibiliteit en sluwheid, profiteren aanvallers van de gaten in de beveiliging als gevolg van open en verbonden infrastructuren en de trage reactie van de industrie op opkomende dreigingen."

Coviello adviseert de industrie om de volgende acties te ondernemen:
  • De manier waarop we denken over security veranderen. We moeten erkennen dat 'perimeter-based aanvallen' en 'signature-based technologieën' niet meer nieuw zijn en accepteren dat ze onze netwerken binnendringen. We moeten hierdoor niet meer worden verrast.
  • Overgang naar slimme beveiligingssystemen. Organisaties moeten beter werk verrichten bij de evaluatie van risico's van binnen naar buiten en van buiten naar binnen. Hiervoor is een combinatie van een brede en diepe kennis van materiële aanwinsten en interne omgevingen met een breed scala aan externe intelligente bronnen nodig.
  • Samenwerken en informatie delen. Omdat het voor iedereen van belang is, moet de IT-industrie beter samenwerken en collectieve kennis delen.
  • Een nieuwe generatie security analisten trainen om de toenemende stroom van geavanceerde aanvallen te bestrijden. Deze nieuwe generatie moet beschikken over analytische en intelligente vaardigheden. Daarnaast is het belangrijk dat de analist het grote plaatje ziet, sociale vaardigheden heeft, ook focust op aanvallen (niet alleen op de verdediging) en snel en nauwkeurig kan reageren.

Terug naar nieuws overzicht

Tags

Security
Security