Grote meningsverschillen over cyberrisico’s tussen risk- en IT-professionals

Er bestaan fundamentele meningsverschillen tussen risk- en IT-professionals over de ernst en aanpak van cyberrisico’s. IT-professionals schatten de impact van een cyberincident ernstiger in dan risk managers. Het gaat hierbij niet alleen om de kosten van een incident, maar ook om de impact op de relatie met klanten en de impact op de reputatie van de organisatie.

Dit blijkt uit “Bridging the Cyber-Risk Gap”, een onderzoek van verzekeraar Chubb onder 250 senior risk managers en IT-professionals werkzaam bij grote Europese ondernemingen. Ruim een kwart (27%) van de onderzochte organisaties heeft in het afgelopen jaar met een cyberincident te maken gehad. Voor 61% van de respondenten was dit incident een eyeopener: hun organisatie bleek kwetsbaarder dan vooraf gedacht. Over de vraag of de aanpak van deze incidenten beter kon verschillen IT- en risk-professionals van mening. Slechts 29% van de IT-professionals vond dat iedere betrokkene wist wat hij of zij moest doen in reactie op het incident, terwijl dit percentage onder risk managers op 54% ligt.

IT-professionals zijn optimistischer 

IT-professionals zijn optimistischer dan hun collega’s van risk management over het vermogen van hun organisatie om te gaan met cyberrisico’s:

• 75% van de IT-professionals vindt dat de organisatie goed is in het ontwikkelen van een robuust cybersecurity-beleid, vergeleken met 64% van de risk managers.
• 74% van de IT-ers geeft aan dat hun organisatie goed is in het ontwikkelen en testen van een incident response plan, tegenover 64% van de risk managers.
• 76% van de IT-professionals vindt dat hun organisatie goed is in het trainen van medewerkers in het beperken van cyberrisico’s, vergeleken met 58% van de risk managers.

Ook over de eindverantwoordelijkheid en de beste overall aanpak van cyberrisico’s verschillen de meningen:

• 43% van de IT-professionals vindt dat cyberrisico de verantwoordelijkheid van het hoofd IT is, maar slechts 25% van de onderzochte risk managers is het daarmee eens.
• 63% van de IT-professionals vindt dat een snelle reactie op incidenten beter is dan uitgebreide beschermingsmaatregelen, vergeleken met 53% van de risk managers.
• 75% van de IT-professionals vindt het beter om de belangrijkste data goed te beschermen in plaats van alle data even goed te beschermen, tegenover 60% van de risk managers.

Meningsverschillen maken organisatie kwetsbaarder

Dit gebrek aan overeenstemming over de aanpak van cyberrisico’s kan organisaties kwetsbaarder maken. Dit kan volgens Chubb alleen opgelost worden door betere samenwerking over afdelingen heen en met derden. Maar ook daar schort het in de praktijk aan. Slechts 43% van de respondenten vindt dat IT en risk management goed en structureel samenwerken om cyberrisico’s te bestrijden. Daarbij is de druk van de directie doorgaans hoog. 60% van de respondenten zegt dat directieleden verwachten dat hun organisatie onkwetsbaar is voor cyberaanvallen.

“Dit onderzoek toont aan hoe verschillend risk management en IT kijken naar cyberrisico’s, maar ook hoe ze beiden naar oplossingen zoeken,” aldus Kyle Bryant, Cyber Risk Manager Europe bij Chubb. “Aan het einde van de rit moet er echter een holistisch antwoord komen, van preventie tot detectie en reactie. Dat vereist betrokkenheid op bestuursniveau en iemand die als 'verandermanager' de leiding op zich neemt om verbeteringen door te voeren en daarmee de kans op cyberincidenten te verkleinen.”

Rol weggelegd voor verzekeraars

Chubb ziet hierbij een rol weggelegd voor verzekeraars. “Verzekeraars dragen bij aan de oplossing door de beoordeling, het kwantificeren en prioriteren van cyberrisico’s,” vervolgt Bryant. “Hierdoor kunnen er sterke verdedigingsmechanismes worden ontwikkeld die zowel technologische als menselijke en organisatorische aspecten bevatten.”