Managers zien geen link tussen IT-risico en bedrijfsrisico
Security specialist RSA zegt in het nieuwe Governance Report 2012, dat risicomanagement wel serieus wordt genomen, maar dat men nog steeds de relatie tussen IT-risico’s en bedrijfsrisico’s niet ziet.
Er is geen inzicht in hoe bedrijfsprocessen en -activiteiten worden ondersteund door computersystemen en digitale data. Bestuurders en topmanagers realiseren zich daardoor niet hoe risico’s de bedrijfsresultaten kunnen ondermijnen.
Het Governance Report 2012 is een wereldwijde analyse van de manier waarop bestuur en topmanagers van bedrijven omgaan met cyberrisico’s per regio en per sector. Belangrijke conclusies uit het onderzoek zijn:
• De financiële sector beschikt over het algemeen over een professionelere security en governance aanpak dan de energie-, IT/telecom- en industriële sector.
• Bij het merendeel van de ondervraagden worden de belangrijkste privacy- en security-verantwoordelijkheden nog niet toegewezen. Daarnaast ontvangst het merendeel geen periodieke updates over cyberrisico’s en incidenten.
• De financiële- en industriële sector hebben beter zicht op hun dekking van een cyber-verzekering dan de energie- en IT/telecom sector.
• Minder dan tweederde van de respondenten geeft aan fulltime personeel in dienst te hebben voor de belangrijkste functies met betrekking tot privacy en security (CISO/CSO, CPO, CRO). Dit komt tegemoet aan de internationale standaarden en procedures die hiervoor gelden. Hoe deze rollen worden ingevuld, verschilt per sector en regio.
• Het bestuur van organisaties in Noord-Amerika is minder ver dan het bestuur in Aziatische en Europese organisaties als het gaat om belangrijke activiteiten rondom privacy en security governance.