Een opvallend resultaat volgens Corporate Information Security Officer, Mark Vandenwauver. “Slechts een op de vijf IT-besluitvormers (19%) schat de risico’s op een hack of datalek door leveranciers en software als groot of zeer groot in. Dat is een verontrustend laag percentage. Hacks en datalekken zijn helaas dagelijkse kost. Organisaties worden afhankelijker van allerlei softwareoplossingen van verschillende leveranciers. Door de onderlinge verbondenheid ontstaat het risico elkaar te besmetten bij een cybercrime-aanval. Organisaties moeten die risico’s niet onderschatten, want de gevolgen zijn groot.”
Zes op de tien organisaties (61%) vinden dat cybersecurity de verantwoordelijkheid van de organisatie zelf is. Tegelijkertijd geeft bijna de helft van de IT-besluitvormers (49%) aan dat er in hun organisatie onvoldoende of geen actie ondernomen wordt om de cyberrisico’s door leveranciers en software tot een minimum te beperken. Vandenwauver geeft het dringende advies om als organisatie integraal naar cybersecurity te kijken. Dus niet alleen naar de techniek, maar ook naar de processen en de mens. Daarbij mogen de betrokken externe partijen niet vergeten worden. Dat zijn er in bepaalde ketens al snel tientallen tot honderden. Verantwoordelijkheden zijn dan vaak niet meer helder en de regie is moeilijk te houden. “We zien hier een belangrijke rol voor de overheid. Niet alleen voor strengere wet- en regelgeving, maar ook om bewustwording te creëren en een helpende hand te bieden aan organisaties. We zijn dan ook erg blij met het initiatief van de Federale Overheid om de komende jaren miljarden euro’s in cybersecurity te investeren.”
Dat de overheid een rol in cybersecurity en informatiebeveiliging moet spelen, beaamt ook 93% van de IT-besluitvormers. Bijna de helft (45%) geeft aan dat de rol van de overheid op dit moment te klein is, 68% vindt de groeiende rol van de overheid op het gebied van wet- en regelgeving vanuit de Europese Unie een positieve ontwikkeling.
Een meerderheid van de IT-besluitvormers (55%) verwacht dat het budget voor cybersecurity de komende jaren gelijk zal blijven in hun organisatie. Slechts vier op de tien geven aan dat hier meer budget voor vrijgemaakt gaat worden.
Ondanks dat IT-besluitvormers aangeven dat er onvoldoende wordt geïnvesteerd in cybersecurity en er onvoldoende actie wordt ondernomen om de risico’s te beperken, geeft 70% aan goed voorbereid te zijn op een hack of datalek. Bij iets meer dan de helft van de organisaties zijn draaiboeken aanwezig. Vandenwauver vindt het goed om te zien dat organisaties voorbereid zijn op een hack. “Toch zien we dat als een organisatie daadwerkelijk gehackt wordt, het hek van de dam is en lang niet iedereen weet wat hij moet doen. Dit komt ook omdat de aanwezige draaiboeken vaak niet gecheckt of geoefend worden. Meer focus op awareness en het verhogen van het kennisniveau om ook het gedrag van mensen te veranderen, is erg belangrijk om de organisatie wendbaarder en weerbaarder te maken. Door bijvoorbeeld regelmatig te trainen op mogelijke hacks, waarbij de rollen en verantwoordelijkheden op de proef gesteld worden. Het liefst dus samen met de ketenpartners.”