Er lijkt een merkbaar gebrek aan betrokkenheid te zijn bij de leiding van Britse bedrijven als het gaat om cyberbeveiliging, zo blijkt uit een nieuw rapport van het Department for Digital, Culture, Media & Sport (DCMS).
De overheidsdienst heeft onlangs een beleidsdocument gepubliceerd met de titel ‘Exploring organisational experiences of cyber security breaches’, waarin de resultaten worden gedeeld van het kwalitatieve onderzoek van de DCMS naar het niveau van cyberbeveiligingsmaatregelen dat organisaties hebben voor en na een datalek. Voor het rapport werden tien (10) organisaties die de afgelopen vier jaar met cyberinbreuken te maken kregen, ondervraagd: cyberbeveiligings- en/of IT-personeel dat bij de organisaties betrokken was, evenals personeelsleden die door de inbreuken waren getroffen, werden geïnterviewd over hun gedachten over de manier waarop hun organisaties met de incidenten omgingen.
Uit de 10 casestudy’s kwam de DCMS tot een aantal belangrijke bevindingen:
- In reactie op de toenemende cyberrisico’s erkenden bijna alle deelnemers dat er steeds meer waakzaamheid en investeringen in cyberbeveiliging nodig zijn. Maar terwijl middelgrote en grote organisaties verklaarden dat zij over het algemeen formele plannen hebben opgesteld en budgetten hebben toegewezen voor investeringen in cyberbeveiliging, gaven kleine organisaties vaker aan dat zij dit niet doen, omdat zij over beperkte middelen beschikten. De reacties van kleine organisaties op het waargenomen groeiende cyberrisico lijken dus ‘grotendeels versnipperd en reactief’ te zijn;
- Hoewel de meeste ondervraagde personeelsleden/IT-medewerkers aangaven dat hun leiding het belang van cyberbeveiliging heeft ingezien en investeringen hierin steunt, waren ze er niet allemaal zeker van dat hun leidinggevende teams de ‘omvang van de dreiging’ of de ‘cultuuromslag’ die nodig is om de groeiende uitdaging aan te gaan, volledig begrepen;
- De meeste ondervraagde personeelsleden vonden dat hun organisaties meer nadruk legden op technologie dan op werknemers om qua cyberdreiging veilig te blijven. Voor sommigen was technologie een middel om ‘mensen te helpen het juiste te doen’: dit weerspiegelt de opvatting dat mensen en cultuur meer een ‘zwakke plek’ zijn in cyberbeveiliging dan de technologie die in hun organisaties wordt gebruikt;
- Een van de meest positieve uitkomsten van de incidenten is dat ze hebben aangetoond dat cyberdreigingen voor leidinggevenden reëel zijn, zo bleek uit het onderzoek. Veel van de geobserveerde organisaties zijn na de inbraak meer betrokken geraakt bij hun cyberbeveiligingsuitdaging en hebben sindsdien een serieuzere intentie getoond om zichzelf te helpen verbeteren;
- Relatief weinig organisaties probeerden echter de financiële impact van de inbreuken nauwkeurig te kwantificeren. Ook hebben maar heel weinig van de ondervraagde organisaties na een inbreuk een proces van ‘geleerde lessen’ in gang gezet.
