Veel bestuursleden beschikken over onvoldoende beveiligingskennis

Cybersecurity is een essentieel onderwerp voor bestuursraden. Veel bestuursleden beschikken echter niet over de kennis om deze uitdagingen het hoofd te bieden en zouden zelfs vaak niet op de hoogte zijn van cyberaanvallen. Het is dan ook niet verwonderlijk dat IT security professionals weinig vertrouwen blijken te hebben in het vermogen van bestuursleden om de cybersecurity’s te begrijpen waar hun organisatie mee te maken heeft.

Dit blijkt uit het onderzoek ‘Defining the Gap: The Cybersecurity Governance Survey’ van Ponemon Institute in samenwerking met Fidelis Cybersecurity, leverancier van beveiligingsoplossingen. 650 managers en IT security professionals hebben aan het onderzoek deelgenomen. Het gaat hierbij voornamelijk om CIO’s, CTO’s en CISO’s.

Te weinig kennis om goed te kunnen oordelen

76% van de bestuursleden beoordeelt security strategieën en plannen om op security incidenten te reageren. Dit is zorgwekkend, aangezien 41% van de bestuursleden tegelijkertijd toegeeft over te weinig expertise rond cybersecurity te beschikken. 26% stelt zelfs minimale of geen kennis te hebben van cybersecurity. Het is voor deze groep dan ook moeilijk of zelfs onmogelijk te beoordelen of besproken strategieën en plannen adequaat zijn om digitale risico’s het hoofd te bieden.

59% van de bestuursleden stelt dat de cybersecurity governance practices van hun organisatie zeer effectief zijn. Als dezelfde vraag wordt voorgelegd aan security professionals heeft echter slechts 18% dit vertrouwen. Het grote gat wordt volgens Ponemon voornamelijk veroorzaakt door een gebrek aan kennis op bestuursniveau over dreigingen waar organisaties mee te maken hebben. Dit blijkt onder andere uit dat het feit dat 54% van de security professionals aangeeft dat waardevolle informatie zoals intellectueel eigendom in de laatste twee jaar bij hun organisatie is gestolen. Van de bestuursleden is slechts 23% op de hoogte van een dergelijk incident. 18% heeft geen idee of zijn bedrijf slachtoffer is geworden van een cyberinbraak.

Weinig vertrouwen in de kennis van bestuursleden

Security professionals hebben dan ook maar weinig vertrouwen in de kennis van bestuursleden over security. Bijna 60% van de professionals denkt dat het bestuur de cybersecurity risico’s waar hun organisatie mee te maken heeft niet begrijpt. Tegelijkertijd denkt 70% van de bestuursleden deze risico’s wel te begrijpen.

Eind 2013 bleek de Amerikaanse winkelketen Target doelwit te zijn geworden van een grootschalige cyberaanval, waarbij miljoenen creditcardgegevens werden buitgemaakt via malware op Point of Sale (PoS) systemen (kassasystemen). 65% van de bestuursleden en 67% van de security professionals geeft aan dat deze cyberinbraak een grote invloed heeft gehad op de aandacht die bestuursleden hebben voor security governance. Eerdere aanvallen hadden slechts een nominale impact of zelfs geen impact op deze aandacht.