Tijd om relaties te herzien
59%van de ondervraagde organisaties geeft aan dat de relatie tussen de cybersecurity-functie en de andere bedrijfsonderdelen op zijn best neutraal is. Wantrouwig of niet-bestaand worden echter ook genoemd.
- Volgens 74% van de ondervraagde bedrijven is de relatie tussen de cybersecurity- en marketingfunctie en afdelingen op zijn best neutraal, maar vaak ook wantrouwig of niet-bestaand. 64% geeft aan dat dit ook het geval is bij het R&D-team en in 59% van de gevallen geldt het voor alle bedrijfsonderdelen. Cybersecurityteams scoren zelfs slecht wat betreft hun relatie met de financiële afdeling, terwijl dat juist de afdeling is die hun budgetten moet goedkeuren; 57% van de bedrijven geeft te kennen dat ze hier tekortschieten.
- Ongeveer de helft van de respondenten (48%) zegt dat het bestuur nog geen volledig inzicht heeft in de risico's op het gebied van cybersecurity. Ondertussen geeft 43% van de ondervraagde bedrijven aan dat het bestuur de waarde en behoeften van het cybersecurityteam niet volledig begrijpt.
- Uit de EY Global Board Risk Survey blijkt dat besturen onvoldoende vertrouwen hebben in de cybersecurity-functie van hun organisatie. De helft van hen zegt in het beste geval slechts in geringe mate op het team te vertrouwen.
- Slechts 54% van de ondervraagde organisaties zet cybersecurity regelmatig op de bestuursagenda.
- Zes op de tien organisaties geeft aan de effectiviteit van de uitgaven voor cybersecurity niet te kunnen kwantificeren voor het bestuur.
3. De CISO wordt de aanjager van transformatie
Met sterkere relaties op bedrijfs- en bestuursniveau, beter inzicht in de commerciële behoeften van de organisatie en het vermogen om te anticiperen op de ontwikkelende cyberdreigingen, kunnen CISO's een sleutelrol spelen in de transformatie van hun organisatie.
Ze hebben een nieuwe manier van denken nodig, evenals nieuwe vaardigheden op gebieden zoals communicatie, onderhandelen en samenwerking. CISO's die nieuwe initiatieven niet direct afwijzen, maar de mogelijkheden onderzoeken, zullen degenen worden die veranderingen in gang zetten.
De cybersecurity-functie gezien als belemmering voor innovatie
7%van de ondervraagde organisaties beschrijft cybersecurity als een factor die innovatie mogelijk maakt, maar de meeste kiezen voor beschrijvingen als 'gedreven door compliance' en 'niet bereid om risico's te nemen'.
- Slechts 7% van de ondervraagde organisaties beschrijft cybersecurity als een factor die innovatie mogelijk maakt, maar de meeste respondenten kiezen voor beschrijvingen als 'gedreven door compliance' en 'niet bereid om risico's te nemen'.
- Ongeveer de helft van de ondervraagde organisaties (48%) zegt dat risicovermindering de belangrijkste drijfveer voor nieuwe uitgaven is en 29% noemt hierbij compliancevereisten. Slechts 9% zet nieuwe uitgaven in voor nieuwe bedrijfsinitiatieven.
- Zes op de tien organisaties heeft geen CISO met een rol op directieniveau.
De aanbevelingen van EY in het kort
De GISS van dit jaar laat duidelijk zien dat er op dit moment reële mogelijkheden liggen voor de cybersecurityfunctie. De CISO kan een centrale rol gaan spelen in bedrijfstransformatie en -innovatie. Hiervoor moeten bestuursraden, senior managementteams, CISO's en leiders door het hele bedrijf samenwerken om het volgende te realiseren:
- De cybersecurity-functie een sleutelrol geven om digitale transformatie mogelijk te maken. Betrek de cybersecurity-functie bij de planningsfase van elk nieuw initiatief. Hanteer een aanpak op basis van Security by Design om de risico's bij transformaties en het ontwerp van producten of diensten vanaf het begin in kaart te brengen (in plaats van achteraf).
- Vertrouwensrelaties opbouwen met elke afdeling van de organisatie. Analyseer belangrijke bedrijfsprocessen met cybersecurityteams om inzicht te krijgen in de mogelijke gevolgen van cyberrisico's en te begrijpen hoe het cybersecurityteam kan helpen de bedrijfsonderdelen te optimaliseren.
- Governancestructuren implementeren die doelgericht zijn. Ontwikkel een set KPI's die kunnen worden gebruikt om bestuur en management op de hoogte te stellen van de verschillende risico's.
- Het bestuur betrekken bij cybersecurity. Communiceer op een manier die aansluit bij het bestuur en denk aan een programma voor risicokwantificering om de cyberrisico's effectiever te communiceren.
- De effectiviteit van de cybersecurity-functie evalueren om de CISO nieuwe competenties te geven. Bepaal de sterke en zwakke punten van de cybersecurity-functie om te begrijpen waar de CISO behoefte aan heeft en hoe dat moet worden aangepakt.
In Nederland zien we een toenemende dreiging door cybersecurity incidenten. De afgelopen maanden zijn diverse incidenten in het nieuws geweest waarbij cybercriminelen zich verrijkt hebben ten koste van Nederlandse organisaties. Zo zijn de Universiteit Maastricht en Onderzoeksinstituut Wetsus in Leeuwarden slachtoffer geworden van een pishing aanval (buit:197.000 en onbekend) , is het Rijksmuseum Twenthe gehackt (buit: 2,66 miljoen) en maken cybercriminelen gretig gebruik van de algehele interesse in het coronavirus. Een toenemend aantal spamcampagnes en kwaadaardige activiteiten buit de uitbraak van het virus uit.
Het is van belang om naast de technologische aspecten veel aandacht te besteden aan de security awareness van medewerkers. Denk dan aan het voorkomen dat kwaadaardige e-mails worden geopend, dat op internetlinks wordt geklikt en dat voldoende sterke wachtwoorden worden gebruikt. Verder is inrichting van adequate monitoring en een regelmatige cybersecurity health check geen overbodige luxe.
Local contact
Guill van den Boom
EY Nederland Managing Partner Consulting, COO Consulting in Western-EuropeSamenvatting
Uit nieuw onderzoek van EY blijkt dat er sprake is van een kloof tussen de cybersecurity-functie en de rest van het bedrijf, tenzij het gaat om compliance. CISO's die deze kloof willen overbruggen, moeten hun waarde bewijzen op een manier die besturen en executives begrijpen. Daarnaast moet het bedrijf cybersecurity vanaf het begin en gedurende de hele looptijd van elk initiatief serieus nemen.