Bijna negen op de tien bestuursraden zien security als bedrijfsrisico

88 procent van de bestuursraden beschouwt cyberbeveiliging als een bedrijfsrisico, in tegenstelling tot een technologisch risico. 12% van de bestuursraden heeft een speciale commissie voor cyberbeveiliging op bestuursniveau.

Dit blijkt uit de 2022 Gartner Board of Directors Survey, die in de periode mei tot en met juni 2021 is uitgevoerd onder 273 respondenten uit de Verenigde Staten, Europa en APAC met een positie in de bestuursraad. "Het wordt tijd dat leidinggevenden buiten de IT-afdeling de verantwoordelijkheid nemen voor het beveiligen van de onderneming", zegt Paul Proctor, distinguished research vice president at Gartner. "De toestroom van ransomware en aanvallen op de toeleveringsketen die we in 2021 hebben gezien, waarvan vele gericht zijn op bedrijfs- en missiekritieke omgevingen, zou een wake-up call moeten zijn dat beveiliging een zakelijk probleem is en niet zomaar een ander probleem dat IT moet oplossen."

Verantwoordelijkheden in evenwicht brengen

Zelfs als bedrijfsleiders zich bewust zijn van de noodzaak om de onderneming te beveiligen tegen nieuwe en ontwikkelende bedreigingen, ligt de verantwoordelijkheid voor beveiliging meestal bij IT-leiderschap. Uit de 2021 Gartner Global Security and Risk Management Governance Survey blijkt dat in 85% van de organisaties de CIO, CISO of hun equivalent de hoogste persoon was die verantwoordelijk werd gehouden voor cyberbeveiliging. Slechts 10% van de organisaties hield niet-IT-senior managers verantwoordelijk (zie figuur 1). De 2021 Gartner Global Security and Risk Management Governance Survey is in april en mei 2021 uitgevoerd onder 615 respondenten uit Noord-Amerika, EMEA, APAC en Latijns-Amerika die werkzaam zijn bij organisaties met tenminste 100 medewerkers en 50 miljoen dollar totale jaarlijkse omzet.

Figuur 1: De persoon met de hoogste functie in de organisatie die verantwoordelijk is voor cyberbeveiliging

Bron: Gartner (november 2021)

"IT- en beveiligingsleiders worden vaak beschouwd als de ultieme autoriteiten om het bedrijf te beschermen tegen bedreigingen", zegt Proctor. "Toch nemen bedrijfsleiders elke dag zonder de CIO of CISO te raadplegen beslissingen die van invloed zijn op de beveiliging van de organisatie."

CIO's en CISO's moeten de verantwoordelijkheid voor cyberbeveiliging opnieuw in evenwicht brengen, zodat deze wordt gedeeld met zakelijke en bedrijfsleiders. Gartner raadt IT- en beveiligingsleiders aan om samen te werken met leidinggevenden en bestuursraden voor het opzetten van governance die de verantwoordelijkheid deelt voor zakelijke beslissingen die van invloed zijn op de bedrijfsbeveiliging.

Investeringen in cybersecurity herkaderen

Recent onderzoek wijst uit dat 66% van de CIO's van plan is het komende jaar meer te investeren in cyberbeveiliging. Uit prognoses van Gartner blijkt echter dat de totale groei van de uitgaven voor cyberbeveiliging tot 2023 vertraagt. "Na jaren van zware investeringen in beveiliging, duwen bestuursraden nu terug en vragen wat hun dollars hebben bereikt", aldus Proctor.

Naarmate beveiligingsbudgetten slinken, moeten CIO's en CISO's nauw samenwerken met het uitvoerend management voor het herkaderen van investeringen in cyberbeveiliging in een zakelijke context. CISO's kunnen bijvoorbeeld een reeks beschermingsopties bieden aan bedrijfsleiders, waarbij de kosten en risico's van elke keuze duidelijk worden beschreven.

"CIO's en CISO's moeten hun expertise gebruiken om de transparantie rond investeringen en risico's te vergroten, om gedeelde verantwoordelijkheid voor beveiliging in het hele bedrijf te stimuleren", aldus Proctor.

Meer informatie is beschikbaar voor klanten van Gartner via het rapport “CIOs Need to Rebalance Accountability for Cybersecurity With Business Leaders” en de Gartner webinar “Roadmap to Renewal: Insights from the 2022 Board of Directors Survey”.