Onderzoek Chubb: Risk- en IT-professionals denken verschillend over cyberrisico’s

Er bestaan fundamentele meningsverschillen tussen risk- en IT-professionals over de ernst en aanpak van cyberrisico’s. Dit blijkt uit ‘Bridging the Cyber-Risk Gap’, een onderzoek van Chubb onder 250 senior riskmanagers en IT-professionals, werkzaam bij grote Europese ondernemingen. IT-professionals schatten de impact van een cyberincident ernstiger in dan riskmanagers, zowel voor wat betreft de kosten van een incident, de impact op de relatie met klanten als de impact op de reputatie van de organisatie.

Ruim een kwart (27%) van de onderzochte organisaties heeft in het afgelopen jaar met een cyberincident te maken gehad. Voor 61% van de respondenten was dit incident een eyeopener: hun organisatie bleek kwetsbaarder dan vooraf gedacht. En de aanpak van deze incidenten kon beter, al verschillen de IT- en risk-professionals hierover van mening: slechts 29% van de IT-professionals vond dat elke betrokkene wist wat hij of zij moest doen in reactie op het incident, vergeleken met 54% van de riskmanagers.

Omgaan met cyberrisico’s

IT-professionals zijn wel optimistischer dan hun collega’s van riskmanagement over het vermogen van hun organisatie om te gaan met cyberrisico’s:

  • 75% van de IT-professionals vindt dat de organisatie goed is in het ontwikkelen van een robuust cybersecurity-beleid, vergeleken met 64% van de riskmanagers;
  • 74% van de IT-ers geeft aan dat hun organisatie goed is in het ontwikkelen en testen van een incident response plan, tegenover 64% van de riskmanagers;
  • 76% van de IT-professionals vindt dat hun organisatie goed is in het trainen van medewerkers in het beperken van cyberrisico’s, vergeleken met 58% van de riskmanagers.

Ook over de eindverantwoordelijkheid en de beste overall aanpak van cyberrisico’s verschillen de meningen:

  • 43% van de IT-professionals vindt dat cyberrisico de verantwoordelijkheid van het hoofd IT is, maar slechts 25% van de onderzochte riskmanagers is het daarmee eens;
  • 63% van de IT-professionals vindt dat een snelle reactie op incidenten beter is dan uitgebreide beschermingsmaatregelen, vergeleken met 53% van de riskmanagers;
  • 75% van de IT-professionals vindt het beter om de belangrijkste data goed te beschermen in plaats van alle data even goed te beschermen, tegenover 60% van de risk managers.

Kwetsbaarder

Dit gebrek aan overeenstemming over de aanpak van cyberrisico’s kan volgens de onderzoekers organisaties kwetsbaarder maken en kan alleen opgelost worden door betere samenwerking over afdelingen heen en met derden. Maar ook daar schort het in de praktijk aan: slechts 43% van de respondenten vindt dat IT en risk management goed en structureel samenwerken om cyberrisico’s te bestrijden. Daarbij is de druk van de directie doorgaans hoog: 60% van de respondenten zegt dat directieleden verwachten dat hun organisatie onkwetsbaar is voor cyberaanvallen.

“Dit onderzoek toont aan hoe verschillend riskmanagement en IT kijken naar cyberrisico’s, maar ook hoe ze beiden naar oplossingen zoeken,” aldus Kyle Bryant, Cyber Risk Manager Europe bij Chubb. “Aan het einde van de rit moet er echter een holistisch antwoord komen, van preventie tot detectie en reactie. Dat vereist betrokkenheid op bestuursniveau en iemand die als ‘verandermanager’ de leiding op zich neemt om verbeteringen door te voeren en daarmee de kans op cyberincidenten te verkleinen.” Hij vervolgt: “Verzekeraars dragen bij aan de oplossing door de beoordeling, het kwantificeren en prioriteren van cyberrisico’s. Hierdoor kunnen er sterke verdedigingsmechanismes worden ontwikkeld die zowel technologische als menselijke en organisatorische aspecten bevatten.”