‘bestuur en topmanagers zien geen link tussen IT-risico en bedrijfsrisico’

RSA, de security-divisie van EMC, kondigt samen met het Carnegie Mellon Cylab het nieuwe Governance Report 2012 aan. Dit is een wereldwijde analyse van de manier waarop bestuur en topmanagers van bedrijven omgaan met cyberrisico’s per regio en sector. Uit de resultaten blijkt dat risicomanagement wel serieus wordt genomen, maar dat men nog steeds de relatie tussen IT-risico’s en bedrijfsrisico’s niet ziet. Er is geen inzicht in hoe bedrijfsprocessen en -activiteiten worden ondersteund door computersystemen en digitale data. Bestuurders en topmanagers realiseren zich daardoor niet hoe risico’s de bedrijfsresultaten kunnen ondermijnen.

Belangrijke conclusies uit het onderzoek zijn:

• De financiële sector beschikt over het algemeen over een professionelere security en governance aanpak dan de energie-, IT/telecom- en industriële sector.
• Bij het merendeel van de ondervraagden worden de belangrijkste privacy- en security-verantwoordelijkheden nog niet toegewezen. Daarnaast ontvangst het merendeel geen periodieke updates over cyberrisico’s en incidenten.
• De financiële- en industriële sector hebben beter zicht op hun dekking van een cyber-verzekering in tegenstelling dan de energie- en IT/telecom sector.
• Minder dan tweederde van de respondenten geeft aan fulltime personeel in dienst te hebben voor de belangrijkste functies met betrekking tot privacy en security (CISO/CSO, CPO, CRO). Dit komt tegemoet aan de internationale standaarden en procedures die hiervoor gelden. Hoe deze rollen worden ingevuld, verschilt per sector en regio.
• Het bestuur van organisaties in Noord-Amerika is minder ver dan het bestuur in Aziatische en Europese organisaties als het gaat om belangrijke activiteiten rondom privacy en security governance.