Cybergovernance op de agenda maar nog niet op orde

Veel bestuurders hebben slechts een basaal tot minimaal begrip van cyberbedreigingen en zwakheden binnen hun eigen organisatie. Cybertrainingen om dat gebrek tegen te gaan worden daarbij weinig gevolgd.

Toch zijn veel organisaties ervan overtuigd dat hun bestuurders voorbereid zijn op het digitale tijdperk. Dat blijkt althans uit de reacties van deelnemende organisaties aan het Cyber Governance onderzoek van PwC, dat wordt ondersteund door het National Cyber Security Center (NCSC).

Het Cyber Governance onderzoek van PwC geeft inzicht in de volwassenheid van het beheersen van cybersecurity risico’s onder de grootste Nederlandse organisaties en laat de afzonderlijke deelnemende organisaties zien hoe zij zich verhouden tot andere organisaties. Uit het onderzoek blijkt dat cyberdreigingen relevant zijn voor alle sectoren, terwijl het bewustzijn van de risico’s en dus de governance daarvan vaak nog ontbreken in de bestuurskamers.

Ervaringen niet gedeeld
Bram van Tiel, senior manager risk assurance bij PwC: ‘Ondanks diverse recente cyberincidenten nemen bestuurders van minder dan de helft van de organisaties cyberrisico’s zeer serieus. De meeste organisaties onderkennen de dreigingen wel, maar zien ze niet als strategische bedrijfsrisico’s en trainen bijvoorbeeld ook hun bestuurders niet regelmatig. Slechts de helft van de deelnemers zegt het delen van informatie over cyberdreigingen met andere organisaties te stimuleren. Dit ondanks het gezamenlijke belang bij het leren van andermans ervaringen.’

Volgens Van Tiel verdient cybersecurity meer aandacht van het bestuur en is het inmiddels veel meer dan een IT-uitdaging. Hij ziet dat, terwijl de digitale wereld in een rap tempo verandert, veel organisaties blijven vasthouden aan een traditionele beveiligingsaanpak.

Leveranciers niet in het vizier
‘Het delen van gevoelige informatie met andere partijen zoals klanten, partners en leveranciers introduceert nieuwe risico’s’, stelt Van Tiel. ‘Organisaties moeten daarom constant in kaart blijven houden wat hun belangrijkste data en informatie-elementen zijn. Welke leveranciers hebben toegang tot deze informatie en data? Zijn de afspraken met hen over de omgang met deze data nog up-to-date? Uit ons onderzoek blijkt dat slechts tien procent goed op de hoogte is van de leveranciers met wie zij belangrijke informatie en data delen.’

Van Tiel stelt dat het Cyber Governance onderzoek de bewustwording van organisaties en de voor hen relevante cyberrisico’s vergroot. Uiteindelijk hoopt hij dat het onderzoek ook bijdraagt aan de verbetering van de Nederlandse kennis en ervaring rondom cyberdreigingen en hiermee ook onze gezamenlijke internationale concurrentiepositie verbetert.

De juiste vragen stellen
‘Het ruime merendeel van de deelnemende organisaties denkt dat zijn bestuurders goed voorbereid zijn op het digitale tijdperk. Maar bestuurders moeten zich echt nog beter laten informeren en trainen, zodat ze de juiste vragen kunnen stellen en snel op cyberincidenten kunnen reageren. Door samen met andere organisaties over te praten, kunnen zij zowel technisch als organisatorisch nog veel meer leren van elkaars ervaringen’, aldus Van Tiel.