TMT bedrijven hebben veel vertrouwen in de eigen beveiliging tegen externe bedreigingen, 88% is zeker van hun zaak als het gaat om de kwetsbaarheid van de eigen organisatie. Maar bij doorvragen blijkt dat meer dan de helft van de respondenten het afgelopen jaar wel degelijk te maken heeft gehad met een cyberaanval. Daarnaast heeft slechts bijna de helft daadwerkelijk een plan van aanpak klaarliggen als men te maken krijgt met een aanval op de eigen onderneming.
"Elke organisatie is kwetsbaar, 100 procent preventie tegen cyberrisico's is niet mogelijk", zegt Roel van Rijsewijk, director en security expert binnen Deloitte. "Organisaties moeten niet alleen investeren in het voorkomen van cyberaanvallen, maar ook in het ontdekken van bijvoorbeeld een beveiligingslek en in het adequaat kunnen reageren op een aanval. Daarnaast is het belangrijk om vooral samen te werken met partners in de keten om hun niveau van informatiebeveiliging goed in te schatten en te verbeteren".
Andere grote bedreigingen voor de informatiebeveiliging die respondenten benoemen zijn gerichte cyber aanvallen (64%) en hacktivisme (63%). Verder zien we dat meer dan de helft van de respondenten extern algemene informatie verzamelt over dreigingen, slechts 39 procent verzamelt informatie over gerichte dreigingen op de eigen organisatie, branche, het merk of klanten.
Cybersecurity als strategische topprioriteit
Waar vorig jaar nog het voldoen aan wet- en regelgeving op het gebied van informatiebeveiliging de grootste zorg was voor de TMT organisaties, zien we nu dat het implementeren van een security strategie topprioriteit is geworden. Verder blijkt dat de bedrijven gaan inzien dat informatiebeveiliging fundamenteel is voor de business. 20 procent geeft aan dat informatiebeveiliging van invloed is op organisatorische veranderingen zoals uitbreiding, de ontwikkeling van nieuwe diensten en producten en verandering van strategie. Bedrijven gaan zich in toenemende mate focussen op het weerbaar maken van de eigen organisatie tegen cyberrisico's, men wordt meer cyber resilient, in plaats van puur en alleen op de informatiebeveiliging zelf.
"De vraag is niet of je met een cyber aanval te maken krijgt, maar hoe en wanneer je reageert op een aanval," zegt Van Rijsewijk. "Effectief management van informatiebeveiliging en risico's vraagt om een robuuste combinatie van preventie, vroege detectie en snelle reactie. Cyber resilient, oftewel weerbaar zijn en snel kunnen reageren, is het allerbelangrijkste. En dat moet je van tevoren plannen. TMT organisaties moeten de al bestaande publiek-private samenwerkingen met bijvoorbeeld beleidsmakers en wetgevers verder verdiepen. Het uiteindelijke doel moet zijn om zoveel mogelijk informatie met elkaar uit te wisselen en samen te werken aan een oplossing."
Werknemers zijn onderdeel van de oplossing
Niet alleen de technologische innovaties maar juist de gebruikers van deze innovaties vormen een van de grootste bedreigingen voor de informatiebeveiliging. "Om de eigen informatiebeveiliging op orde te hebben moet men de menselijke factor niet vergeten. Voorzie werknemers van de juiste informatie, middelen en training om ze bewust te maken van cyberrisico's en het niveau van de informatiebeveiliging wordt direct tot een hoger niveau gebracht," aldus Van Rijsewijk.
70 procent geeft aan dat de eigen werknemers een gemiddelde tot hoge kwetsbaarheid vormen voor de IT-beveiliging van de organisatie door het gebrek aan bewustzijn van security issues. Werknemers kunnen een bedreiging vormen als zij bijvoorbeeld reageren op phishing emails, bedrijfsgegevens extern opslaan of onbevoegde personen toegang geven tot faciliteiten van de organisatie.
Over de TMT Global Security Study
Het doel van de Security Survey is om TMT bedrijven inzicht te geven in de uitdagingen en bedreigingen op het gebied van beveiliging en privacy waar de branche mee te maken heeft of gaat krijgen. Het rapport bevat de uitkomsten van interviews met security executives van 121 TMT organisaties uit 38 verschillende landen. Daarnaast is Deloitte betrokken bij de security en privacy projecten van het World Economic Forum (WEF).
