Bedrijven nemen onvoldoende maatregelen tegen cybercrime

Nederlandse bedrijven lijken veel vertrouwen te hebben in hun bescherming tegen cyberaanvallen, maar nemen in werkelijkheid vaak niet de juiste maatregelen om zich hier tegen te wapenen. Zo hebben veel bedrijven geen goed overzicht van hun kritieke assets en geven aan dat ze vaak geen goed responsplan hebben om adequaat te reageren op cyberaanvallen en voeren ze in veel gevallen geen jaarlijkse evaluatie uit van hun securityprogramma´s.

Dit blijkt uit een onderzoek dat CGI elk jaar uitvoert naar de belangrijkste IT trends en ontwikkelingen in verschillende sectoren. Dit ‘Voice of the Clients’ onderzoek wordt afgenomen onder bijna 1000 beslissers binnen organisaties in 17 landen, waaronder respondenten in Nederland. De resultaten van dit onderzoek, inclusief aanbevelingen, publiceert CGI in de whitepaper ‘Closing the Cybersecurity Risk Gap’.

‘Cybersecurity is belangrijke trend’
Organisaties zien cybersecurity als een belangrijke trend, zowel vanuit IT- als vanuit zakelijk oogpunt. In Nederland wordt cybersecurity zelfs als de op 1 na belangrijkste trend gezien, na ‘cost/budget pressures’ terwijl het wereldwijd de op 4 na belangrijkste trend is. Ook beschouwen de meeste organisaties de risico’s van cybersecurity als hoog. Meer dan de helft van de respondenten (53%) geeft aan vertrouwen te hebben in hun mate van bescherming tegen cybercriminaliteit. In Nederland heeft zelfs bijna zeventig procent van de respondenten vertrouwen hierin.

Dit vertrouwen lijkt echter onterecht. Zo blijkt uit het onderzoek van CGI dat organisaties onvoldoende maatregelen nemen om zich te wapenen tegen cybercriminelen. Een derde heeft geen volledig overzicht van de assets die aantrekkelijk zijn voor cybercriminelen. In Nederland ligt met 43 procent dit percentage 10 punten hoger. Wereldwijd beschikt ook iets meer dan een derde van de geïnterviewden niet over een goed responsplan om adequaat te reageren op een cyber breach. In Nederland heeft 45 procent van de bedrijven dit niet geregeld. En terwijl verzekeringen tegen cybercriminaliteit steeds populairder worden, voert meer dan de helft van de organisaties (wereldwijd 58% en in Nederland 56%) geen jaarlijkse evaluatie uit van het gebruik van en de behoefte aan een cybersecurity verzekering.

Cybersecurity bewustzijn is een prioriteit
Voor het onderzoek ondervroeg CGI beslissers in Noord- en Zuid-Amerika, Azië en Europa naar hun prioriteiten op het gebied van cybersecurity. Wereldwijd beschouwen organisaties ‘bewustzijn en training’ en ‘governance, risk & compliance’ als de belangrijkste prioriteiten op het gebied van cybersecurity. Tussen de verschillende regio´s en individuele landen zijn wel wat verschillen in prioriteiten waar te nemen.

In Nederland ligt de focus bijvoorbeeld meer op privacy en gegevensbescherming vergeleken met andere landen. Dit komt waarschijnlijk onder andere door de striktere wetgeving op dit gebied en de recente invoering van de meldplicht voor datalekken.

Boardroom is optimistisch
Cybersecurity is tegenwoordig ook een belangrijk onderwerp voor C-level executives. Zowel bestuurders als lijnmanagers beschouwen cybersecurity als prioriteit. Het onderzoek wijst verder uit dat de boardroom een iets positievere kijk heeft op de situatie. Zij schatten de cyberrisico´s lager in dan lijnmanagers en hebben meer vertrouwen in hun bescherming tegen cyberaanvallen. Waar lijnmanagers zich vooral focussen op bewustzijn en training, zien bestuurders privacy en gegevensbescherming als de belangrijkste focus.

Ron de Mos, Senior Vice President en General Manager van CGI Nederland: “Het is zeer opvallend dat veel organisaties blijkbaar veel vertrouwen hebben in hun cybersecurity programma’s, maar niet de benodigde maatregelen nemen om echt adequaat beschermd te zijn tegen cybercriminaliteit. Het is belangrijk dat organisaties op een aantal kritieke punten stappen gaan zetten.” De Mos voegt toe: “Ten eerste moeten bestuurders en lijnmanagers meer op één lijn komen als het gaat om het inschatten van de cyberrisico´s en welke maatregelen ze hiertegen moeten treffen. Vervolgens zijn een goed overzicht van de kritieke assets en een adequaat cybersecurityprogramma absoluut noodzakelijk om je organisatie weerbaar te maken tegen cybercriminaliteit. Tenslotte is het essentieel dat bedrijven inzicht krijgen in de financiële impact van mogelijke cyberincidenten en een gedegen inschatting maken of daarom een cyberverzekering moet worden overwogen. Kortom, organisaties moeten zich voorbereiden op de onvermijdelijke breach; het tijdig opsporen en aanpakken van cyberaanvallen is hierin van essentieel belang.”