‘Cyber security kan nog veel beter’ is de algemene conclusie van een onderzoek dat eind 2014 onder 32 Nederlandse bedrijven is uitgevoerd naar het inbedden van cyber security in de bestaande governance structuren. Begin februari 2015 heeft het ISACA Chapter Nederland¹ de resultaten gepresenteerd. De aanleiding van het onderzoek was de 2e Nationale Cyber Security Strategie waarin het ministerie van Veiligheid en Justitie oproept voor meer samenwerking in het digitale domein.

Juist omdat een groot deel van de ICT infrastructuur en de kennis hierover in handen is van (internationale) private partijen, kan de digitale weerbaarheid van Nederland niet door de overheid alleen tot stand worden gebracht. ‘Cyber security is de opstelsom van de gezamenlijke inspanningen van overheden, bedrijfsleven, organisaties en burgers, zowel nationaal als internationaal’ staat letterlijk in de Cyber security Strategie 2.0 van het Nationaal Cyber Security Center (NCSC).
ISACA Nederland gaf gehoor aan de oproep van de politiek en NCSC en startte in 2014 een onderzoek onder 32 Nederlandse bedrijven in drie clusters:

1. Een ‘finance cluster’: financiële instellingen die vrijwel dagelijks met cyberrisico’s worden geconfronteerd en waarschijnlijk het meest ver zijn met de inrichting van cyber security;
2. Het ‘continuity-sensitive’ cluster: met onder meer bedrijven die belangrijke intellectuele eigendommen moeten beschermen. Dit cluster is met name gericht op continuïteit en voortdurende beschikbaarheid;
3. Het cluster ‘Overige organisaties’.

Aan de respondenten is gevraagd in hoeverre zij, vanuit hun expert rol, 17 governance gerelateerde onderwerpen ²  belangrijk vinden voor het succes van cybersecurity. Vervolgens is gevraagd naar de scores voor de eigen organisatie. Bedrijven en instellingen uit de Finance sector doen het relatief beter dan deelnemers uit de overige onderzoek clusters zo blijkt uit het onderzoek. Naarmate het object van bescherming meer evident is krijgt cyber security meer aandacht.

Uit het onderzoek blijkt echter ook dat nagenoeg alle respondenten in de verschillende clusters van mening zijn dat de eigen organisatie niet ver genoeg gaat in het geven van passende aandacht aan de governance van cybersecurity. Hierbij wordt aan bepaalde onderwerpen meer belang gehecht dan aan anderen. De onderwerpen die in het onderzoek bovenaan staan zijn: Management commitment, Incident response, Risk management en Cultuur.
Cyber security vraagt om draagvlak en leiderschap vanuit het management van organisaties. Verwachtingen ten aanzien van cyberrisico’s kunnen nog beter gecommuniceerd worden op alle niveaus binnen de organisatie. De zeer verfijnde aanvalstechnieken die gemotiveerde aanvallers hanteren kunnen niet altijd direct worden gedetecteerd. Bij een goede incident response moet er dus niet alleen aandacht zijn voor preventieve en detectie maatregelen. De organisatie zal ook weerbaar en voorbereid moeten zijn op de negatieve gevolgen van een belangrijk cyberincident.

Techniek blijkt slechts de helft van het cyber securityverhaal te zijn. Het gaat vooral ook om de proceskant en menselijke factoren. Een belangrijk deel van een succesvolle cyberrisico aanpak hangt af van de organisatiecultuur. Bedrijven moeten nog veel meer investeren in een cultuur waarin waakzaamheid een belangrijke rol speelt naast het vermogen om potentiële gevaren te onderkennen.
De bijbehorende gedragscomponenten en de bereidwilligheid om een actieve bijdrage te leveren zijn van belang op ieder niveau in de organisatie en daarbuiten: ook leveranciers en strategische partners hebben een essentiële rol in cyber security. Het onderzoek geeft aan dat de respondenten moeite hebben met het beoordelen en reviewen van leveranciers ten aanzien van compliance.

Verder blijkt dat bedrijven en instellingen het meest worstelen met het onderwerp third-party management. Third-parties worden als zodanig niet herkend als belangrijke stakeholders voor cyber security. Door externe partijen expliciet een concrete bijdrage te laten leveren aan de ‘cyberrisico paragraaf’ verbreden organisaties hun aandachtsgebied voor cyberrisico’s.
Met een adequate risicomanagement aanpak kunnen risico’s onderkent en aangepakt worden. Zoals al gezegd ligt vanuit het perspectief van cyber security hier een extra uitdaging omdat de beschikbare detectiemiddelen niet altijd toereikend zijn. Wendbaarheid, veerkracht en uitwijkmogelijkheden zijn dan minstens zo belangrijk.