Bedrijven nemen onvoldoende maatregelen in strategische informatie te beschermen

Nederlandse bedrijven nemen onvoldoende maatregelen om de strategische informatie waarover zij beschikken afdoende te beveiligen. Het ontbreken van maatregelen is met name toe te schrijven aan een gebrek aan aandacht voor informatiebeveiliging binnen de leiding van bedrijven.

Dit blijkt uit onderzoek van KPMG. "Hoewel het bestuur zich in het algemeen realiseert hoe waardevol informatie over productieprocessen, nieuwe technologieën, intellectuele eigendommen en ook mogelijke overnames is voor de continuïteit en het succes van de onderneming, blijven afdoende maatregelen om dit eigendom te beschermen in het algemeen vaak uit", zegt John Hermans, partner bij KPMG IT Advisory. "Bestuursleden van Nederlandse ondernemingen en hun Raden van Commissarissen moeten dan ook veel meer verantwoordelijkheid nemen als het gaat om het beschermen van alle strategische informatie waarover zij beschikken."

Maatregelen uit de pas met risico’s

Uit het onderzoek 'The importance of information assets' van KPMG onder C-level functionarissen die zich met risicobeheer bezig houden, blijkt dat de maatregelen die Nederlandse bedrijven nemen om te voorkomen dat strategische informatie in verkeerde handen terecht komt in geen verhouding staat tot de risico’s die zij lopen. Hermans: "Zo’n 75% van de onderzochte ondernemingen geeft aan dat de maatregelen die genomen worden om de informatie veilig te beheren volledig uit de pas lopen met de risico’s. En ondanks het feit dat de bedrijven zich bewust zijn van het feit dat de bescherming niet toereikend is, slagen zij er tot op de dag van vandaag niet in de risico’s beter te beheersen en de beveiliging op het vereiste niveau te krijgen. Toch geeft ruim 80% van de bedrijven aan dat de informatie waarover zij beschikken essentieel is voor het voortbestaan en het succes van de organisatie."

Op basis van het onderzoek constateert Hermans dat het bij veel bedrijven schort aan 'eigenaarschap' van risicobeheer en aan een eenduidige wijze van rapporteren over de maatregelen die genomen zijn om het bezit van de bedrijven te waarborgen. "De verantwoordelijkheid voor het risicobeheer is bij veel bedrijven versnipperd belegd en dat betekent dat zowel de CFO, CIO, CRO en CISO zich met de bescherming van deze waardevolle kennis bezighoud Nederlandse ondernemingen nemen onvoldoende maatregelen om alle strategische informatie waarover zij beschikken afdoende te beschermen. Het ontbreken van maatregelen wordt met name ingegeven door een gebrek aan aandacht van de leiding van de onderneming. n. De huidige versnippering van de verantwoordelijkheid voor het risicobeheer duidt erop dat niemand zich daadwerkelijk eigenaar voelt”, aldus Hermans.

Hoger in de organisatie

Een aantal bedrijven overweegt dan ook de verantwoordelijkheid voor het risicobeheer hoger in de organisatie neer te leggen. Zo geeft één op de vier bedrijven aan de Chief Risk Officer verantwoordelijk te zullen maken. Iets minder dan een kwart kiest voor de Chief Information Officer. Als het gaat om het rapporteren over de risico’s blijkt ruim 30% van de onderzochte functionarissen te rapporteren aan de Raad van Commissarissen. Bijna 40% rapporteert aan de audit commissie.

Bijna 60% van de respondenten voorziet de Raad van Bestuur van de noodzakelijke informatie. Een duidelijk bewijs dat de bescherming van strategische informatie beter moet worden georganiseerd. Uit het onderzoek van KPMG blijkt bovendien dat de onderzochte bedrijven de effectiviteit van het risicobeheer nauwelijks actief meten en een beperkt beeld hebben van de kosten die zij maken.

Inzichtelijke relatie

Voor een effectief beleid is het volgens Hermans echter essentieel dat de relatie tussen de maatregelen, de kosten en de risico’s die een onderneming loopt inzichtelijk is. Hermans: "Als dat niet het geval is, is het onmogelijk om vast te stellen of het geld goed besteed wordt en om tijdens de rit verbeteringen aan te brengen. Overigens blijken kleine bedrijven hun waardevolle bezit in het algemeen beter te beschermen dan grotere ondernemingen. Ruim 40% van de kleine bedrijven stelt dat het niveau van bescherming voldoende is. Van de middelgrote bedrijven geeft bijna 20% aan dat de genomen maatregelen om hun bezittingen te beschermen volstaan. Van de grote bedrijven is dit slechts 6%. Een verklaring hiervoor is wellicht dat kleine bedrijven beter beschermd zijn omdat zij opereren in een minder complexe IT-omgeving. Maar het kan ook zijn dat zij zich vanwege hun omvang onterecht veiliger voelen."