Wouter Hoeffnagel - 16 mei 2024

Grote communicatiekloof tussen IT en bestuur over cyberrisico's

Bijna negen op de tien IT-beveiligingsleiders in Nederland geeft toe wel eens de druk gevoeld om de ernst van cyberrisico’s te bagatelliseren voor het bestuur. Er blijkt daarnaast sprake van een grote communicatiekloof tussen IT en management.

Grote communicatiekloof tussen IT en bestuur over cyberrisico's image

Dat blijkt uit een onderzoek van Trend Micro, leider in cyberbeveiliging. “De helft van de IT-beveiligingsleiders zegt dat cyberdreigingen het grootste risico voor het bedrijf zijn. Maar ze krijgen dat niet duidelijk uitgelegd aan hun directie. Ze worden genegeerd, gekleineerd of er wordt hen gezegd dat ze zeuren”, zegt Pieter Molen, Technical Director bij Trend Micro Benelux. “Als ze er niet in slagen om beter samen te werken met het bestuur, zal de cyberveerkracht van hun bedrijf daaronder lijden. De eerste stap is het bereiken van een Single Source of Truth over het gehele aanvalsoppervlak.”

Druk vanuit bestuur

Van de IT-beveiligingsleiders die druk voelen vanuit het bestuur, meldt 46% van de Nederlandse respondenten dat dat voort komt uit bezorgdheid om gezien te worden als zeur. 42% geeft aan niet gezien te willen worden als overdreven negatief en 40% is bang een onjuiste aanbeveling te doen. 34% beweert dat zij zonder meer worden afgewezen.

Dit wijst op een grote geloofwaardigheidskloof. Het is duidelijk dat men er niet in slaagt om cyberrisico’s op hetzelfde niveau te krijgen als andere bedrijfsrisico’s. 44% zegt echter wel dat ze als geloofwaardiger worden gezien wanneer ze de zakelijke waarde van hun cyberbeveiligingsstrategie kunnen meten.

Die aanpak heeft voor IT-beveiligingsleiders nog meer voordelen:

  • ze zijn vaker betrokken bij besluitvorming (44%)
  • hun functie wordt meer gewaardeerd (43%)
  • er wordt meer budget vrijgemaakt (43%)
  • ze krijgen meer verantwoordelijkheid (37%)

Communicatiekloof

Toch heerst er nog steeds een enorme communicatiekloof tussen IT en bestuur. Slechts iets meer dan de helft (57%) van de Nederlandse respondenten heeft er vertrouwen in dat hun directie de cyberrisico's waarmee de organisatie wordt geconfronteerd volledig begrijpt – een cijfer dat sinds 2021 nauwelijks is veranderd. Een derde (29%) van de respondenten zegt dat cyberbeveiliging nog steeds wordt gezien als onderdeel van IT en niet als bedrijfsrisico.

Bovendien denkt 40% dat alleen een ernstige inbreuk het bestuur ertoe zou aanzetten krachtiger op te treden tegen cyberrisico's.

De heterogene cyberbeveiligingsomgeving kan deze uitdagingen verergeren. Omdat verschillende puntoplossingen in de IT-omgeving naast elkaar werken, ontstaan er inconsistente datapunten. Zo wordt het moeilijk om een duidelijk verhaal over cyberrisico’s aan het bestuur over te brengen.

Meer middelen en ondersteuning nodig

Bijna de helft (49%) van de Nederlandse respondenten vindt dat ze meer middelen en ondersteuning nodig hebben om de het belang van investeringen in cyberbeveiliging aan bestuurders te rechtvaardigen. Een uniform Attack Surface Risk Management (ASRM)-platform kan de noodzaak van deze investeringen zichtbaar maken, door in de vorm van een executive dashboard consistent en overtuigend een actueel risico-inzicht te leveren.

Het volledige rapport is hier beschikbaar.