Managers vinden IT-afdeling verantwoordelijk voor IT-beveiliging

Er is nog veel werk te doen op het gebied van samenwerken en het delen van verantwoordelijkheden om cyber breaches te voorkomen. Voor organisaties in heel Nederland en België zijn dit doorslaggevende acties om aanzienlijke boetes en reputatieschade te voorkomen. Maar wie is eigenlijk verantwoordelijk voor de IT-beveiliging? Bijna de helft van de managers legt deze verantwoordelijkheid bij de IT-afdeling.

Dit blijkt uit een nieuw onderzoek van Palo Alto Networks, leverancier van next-generation security, onder 765 beleidsmakers binnen bedrijven met meer dan 1.000 medewerkers in het Verenigd Koninkrijk, Duitsland, Frankrijk, Nederland en België. De belangrijkste uitkomst uit het Europese onderzoek is dat een groot deel van de verantwoordelijkheid volledig op de schouders van de IT-afdeling rust. Bijna de helft (46%) van de managers vindt dat de IT medewerkers de uiteindelijke verantwoordelijkheid hebben voor het beschermen van een organisatie tegen cybersecurityrisico's. Een aanzienlijk deel (57%) van de IT-ers is het hier mee eens, zij vinden dat zij de volledige zeggenschap hebben over de veiligheid van het bedrijf.

General Data Protection Regulation
De bevindingen komen naar voren tegen de achtergrond van het akkoord van de Europese Unie over de General Data Protection Regulation (GDPR), die bedrijven verplicht om te voldoen aan geavanceerde cybersecurity-vereisten. Deze helpen bedrijven om het risico van breaches te verkleinen en boetes van EUR 10 tot 20 miljoen (of 2 tot 4% van de totale wereldwijde jaarlijkse omzet) te voorkomen. De regelgeving wijst ook verantwoordelijkheid toe aan iedereen die toegang heeft tot data in het geval van een breach; van de klantenservice tot de IT-afdeling en bestuurders.

De uitkomsten van het onderzoek suggereren dat meningsverschillen over bij wie de verantwoordelijkheid ligt, voort kunnen komen uit een gebrek aan kennis over cybersecurity onder bestuurders. Wanneer dit hen rechtstreeks werd gevraagd, gaf meer dan 1 op de 10 (13%) van de respondenten op directieniveau aan dat ze "enigszins" weten wat een online veiligheidsrisico voor een bedrijf inhoudt en dat ze "nog steeds Google moeten gebruiken om het te kunnen begrijpen.” De meerderheid van de respondenten toont een groeiend besef van de cyberrisico's waar bedrijven mee te maken hebben. Eén op de tien medewerkers gelooft echter niet dat hun bestuurders relevante of nauwkeurige kennis hebben over huidige cybersecuritykwesties om zo effectief te voorkomen dat cyberaanvallen de computeromgeving in hun organisatie in gevaar brengt.

Definitie van "succes” nodig om rollen vast te stellen
Regelgeving en kaders zullen succesvolle maatregelen, wat betreft de effectiviteit van cybersecurity, standaardiseren. In de tussentijd is het echter noodzakelijk dat bedrijven tot interne overeenstemming komen om de rollen en verantwoordelijkheden vast te stellen en te kiezen voor een gezamenlijke aanpak.

De uitkomsten van het onderzoek onderstrepen dat de manier waarop organisaties hun veiligheid meten niet een allesomvattend overzicht geeft van alle risico’s. Op dit moment meet 1 op de 4 (25%) bedrijven de effectiviteit van hun maatregelen op het gebied van cybersecurity aan de hand van het aantal aanvallen dat is tegengehouden als gevolg van hun cybersecuritybeleid. 1 op de 5 (21%) verwijst naar de tijd die het kostte om de kwestie op te lossen. Dertien procent meet de tijd die er is verstreken sinds het laatste incident. Preventieve en real-time maatregelen zoals het vermogen van een organisatie om al het verkeer binnen een netwerk te monitoren, moeten worden meegenomen om een nauwkeurig beeld van de risico’s te krijgen.

Iedereen is verantwoordelijk voor cybersecurity
“De nieuwe EU-regelgeving vereist dat bedrijven hun maatregelen op het gebied van cybersecurity opvoeren. Afhankelijk van de wijze waarop bedrijven kiezen om de kwestie te benaderen, is dit een kans of een risico. Het is uiteindelijk van essentieel belang dat managers erkennen dat, als het om cybersecurity gaat, de verantwoordelijkheid bij iedereen ligt. Het is niet langer een ver-van-je-bed-show maar de dagelijkse praktijk die in ieder niveau van de organisatiestructuur moet doordringen”, aldus Greg Day, Vice-President en Regional Chief Security Officer EMEA bij Palo Alto Networks.

Palo Alto Networks raadt organisaties aan om de volgende stappen te nemen om hun computeromgevingen te beveiligen tegen cyberaanvallen:

1. Zet een cybersecuritystrategie op die gericht is op het voorkomen van cyberaanvallen in iedere fase van de aanval, waarbij rekening moet worden gehouden met de bewustwording en de verantwoordelijkheid van medewerkers.
2. Gebruik geautomatiseerde en geavanceerde beveiligingstechnologie die niet alleen voldoet aan regelgeving, maar die medewerkers eveneens in staat stelt om efficiënt te werken met de tools die ze nodig hebben.
3. Maak iedereen in het bedrijf bewust van de rol die zij spelen in het voorkomen van succesvolle cyberaanvallen op de organisatie.