DACH-enquête over IT-beveiliging
Sophos Cybersecurity, Umfrage, IT-Security
Er zijn talrijke goede redenen om van gegevensbeveiliging een strategische bedrijven en organisaties tot een topprioriteit te maken: Te beginnen met de toenemende complexiteit van bedrijfs-IT, regelgeving inzake gegevensbescherming, thuiskantoren, mobiel werken en de integratie van IOT (Internet of Things). (Internet of Things) via prominente cyber cyberaanvallen op grote bedrijven of de invloed van hackersgroepen op politieke politieke ontwikkelingen tot gespecialiseerde cyberaanvallen op kritieke infrastructuren of kritieke infrastructuur of kwetsbare sectoren zoals de gezondheidszorg. Dit zijn enkele willekeurig gekozen voorbeelden, de lijst is lang. Steeds meer steeds vaker wordt geëist, zelfs door deskundigen, dat IT-bescherming in bedrijven tot een managementkwestie wordt gemaakt. een managementkwestie.
Maar welke betekenis heeft het onderwerp IT-beveiliging eigenlijk eigenlijk aan de top in de executive suites van Duitse, Oostenrijkse en Zwitserse bedrijven? Hoe hoog schatten de bedrijfsdirecties het gevaar van het risico van cybercriminele aanvallen en welke gevolgen voor het operationele bedrijf als gevolg van aanvallen door hackers verwachten zij het meest? Heeft de huidige huidige wereldwijde politieke situatie een invloed op percepties en beslissingen betreffende IT-beveiliging? Deze en een aantal andere aspecten waren IT-beveiligingsbedrijf Sophos wilde dat in een breed opgezette studie uitzoeken. om erachter te komen. In de vroege zomer van dit jaar ondervroeg het opinieonderzoeksinstituut Ipsos en senior managers (C-level) in de drie landen in de vroege zomer van dit jaar. landen. IT-personeel werd expliciet uitgesloten.
Hogerop, maar toch: IT-beveiliging is geen zaak van de
een zaak van de baas. IT heeft een taak.
De overgrote meerderheid van de ondervraagde managers (ongeveer 81%) zegt een hoog tot zeer hoog bewustzijn van IT-beveiliging te hebben.
tot zeer groot bewustzijn van IT-beveiliging. Ook volgens de
Volgens alle respondenten heeft de meerderheid van de bedrijven (meer dan 60 procent) de
IT-beveiliging in de afgelopen drie jaar naar een hoger of het hoogste hiërarchische niveau gebracht.
naar een hoger of het hoogste hiërarchische niveau gebracht.
Dit onthult tegenstrijdigheid, want wanneer gevraagd wordt naar de feitelijke verantwoordelijkheid voor IT-beveiliging verantwoordelijkheid voor IT-beveiliging, ontstaat een ander beeld, hetgeen te verwachten is. verwacht beeld: hoe groter het bedrijf, hoe minder verantwoordelijkheid het managementniveau heeft. hoe minder verantwoordelijkheid het managementniveau draagt. Dit geldt vooral voor bedrijven met meer dan 200 werknemers, waarbij slechts 1,9 procent van de respondenten aangeeft dat IT-beveiliging op management- of directieniveau ligt. In kleinere bedrijven met maximaal 199 werknemers en in de handel ligt dit cijfer aanzienlijk hoger. deze waarde aanzienlijk hoger, met ongeveer 22 procent van de persoonlijk betrokken.
De hoofdverantwoordelijkheid voor cyberbeveiliging in grotere bedrijven ligt bij 49,1 procent van de voor cyberbeveiliging, terwijl 36,5 procent van de kleinere bedrijven ook een eigen van de kleinere bedrijven ook eigen IT-teams verantwoordelijk zijn. Met 35,8 procent van de en 33,1 procent van de kleinere bedrijven wijst een goed derde van alle bedrijven ook een goed derde van alle bedrijven de verantwoordelijkheid voor hun IT-beveiliging aan externe dienstverleners.
Weinig Oekraïne-effect:
Duitse CEO's hebben vertrouwen in IT-beveiliging
Natuurlijk was Sophos ook benieuwd of en in welke mate
en in hoeverre, gezien de wereldwijde politieke situatie en de huidige oorlog in
oorlog in Europa, die op cyberniveau al lang voor de eigenlijke
de perceptie en het belang van IT-beveiliging de afgelopen twee jaar zijn veranderd.
IT-beveiliging zijn de afgelopen twee jaar veranderd. Hierover
23 procent van de respondenten van bedrijven met meer dan 200 werknemers en bijna
werknemers en bijna 36 procent van de kleinere bedrijven bevestigde dat cyberbeveiliging
cyberbeveiliging nog belangrijker is geworden.
De meerderheid voelt zich echter blijkbaar toch erg veilig. 53 procent van de kleinere bedrijven en bijna 70 procent van de grotere van de kleinere en bijna 70 procent van de grotere bedrijven verklaart dat hun bewustzijn van cyber cybersecurity in de afgelopen twee jaar en dat zij al goed hiervoor al goed gepositioneerd waren. Ook met betrekking tot de bestaande IT-beveiligingsstructuren in het bedrijf: 62,2 procent zegt dat hun bedrijf zegt dat hun bedrijf goed tot zeer goed is uitgerust tegen cyberaanvallen, Onder besluitvormers jonger dan 45 jaar ligt deze waarde zelfs 2,5 procentpunten hoger. Ruim 58 procent beschouwt een cyberaanval op hun bedrijf als 58 procent acht een cybercriminele aanval op hun bedrijf waarschijnlijk tot zeer waarschijnlijk, terwijl iets minder dan 39 procent dit acht 39 procent acht dit eerder onwaarschijnlijk.
Gevolgen cyberaanval: Extra kosten zijn de grootste zorg,
Supply chain en personeelsbestand nauwelijks
Met het oog op de
gevolgen van een cyberaanval is de meest genoemde zorg bij Duitse leidinggevenden su
de gemaakte kosten - bijvoorbeeld doordat de bedrijfsvoering moet worden hersteld.
van de bedrijfsvoering. De mogelijke onderbreking van commerciële processen is de tweede meest
zijn het tweede meest voorkomende aandachtspunt. Een interessant aspect hierbij is dat problemen
leveringsketens door minder respondenten (23 procent) worden vermoed dan een mogelijke
(23 procent) dan een mogelijk imagoverlies (28 procent). Alleen in de
maakindustrie alleen, en dat is geen grote verrassing, gaat in totaal bijna
37 procent van de respondenten gaat ervan uit dat de toeleveringsketens getroffen zouden kunnen worden.
mogelijk getroffen zouden kunnen worden. Het verlies van klanten of
werknemers als gevolg van cyberaanvallen is daarentegen van weinig tot geen betekenis.
tot geen betekenis: 19,4 procent verwacht klantenverlies en nog minder (1,5 procent) vrezen
en nog minder (1,5 procent) vrezen medewerkers te verliezen. Ook
insolventie (9,5 procent) en boetes wegens schendingen van de gegevensbescherming (5,5 procent)
(5,5 procent) worden nauwelijks als risico's gezien.
Zwitserland, waar bijna 22 procent een insolventie verwacht en 11,8 procent een
22 procent insolventie verwacht en 11,8 procent boetes als mogelijke gevolgen van cyber
cyberaanvallen.
Chester Wisniewski:
Internationaal (helaas) een vergelijkbaar beeld
"De resultaten in de DACH-regio zijn teleurstellend,
zijn in lijn met wat we zien in Noord-Amerika, ASEAN en andere regio's," merkt Chester Wisniewski op.
Chester Wisniewski, Principal Research Scientist bij Sophos, geeft commentaar op de resultaten van het onderzoek.
Sophos, geeft commentaar op de bevindingen van het onderzoek. "Helaas, wanneer beveiliging wordt beheerd als een
IT, wordt beveiliging meestal gedegradeerd tot een taak in plaats van een prioriteit.
gedegradeerd, in plaats van een prioriteit. De rol van het beveiligingsteam
is het identificeren van risico's en het bestuur helpen bij het stellen van prioriteiten.
deze risico's te prioriteren, terwijl de IT-afdeling tot taak heeft
IT-afdeling belast is met het doorvoeren van de nodige veranderingen, afhankelijk van hoe
die risico's moeten worden aangepakt."
Ook wat betreft het belang van IT-beveiliging tegen de de achtergrond van de wereldwijde politieke situatie, lijkt er ook unanieme sereniteit over de hele wereld. Wisniewski: "De oorlog in Oekraïne heeft niet echt de houding niet echt veranderd, afgezien van de kritieke Amerikaanse infrastructuren. Het Amerikaanse agentschap CISA heeft zijn inspanningen opgevoerd om veiligheidsbewustzijn en, in sommige gevallen, de rapportageverplichtingen voor leveranciers van kritieke infrastructuur, maar buiten de VS of bij andere bedrijven in de particuliere sector zijn er geen grote bezorgdheid of duidelijke acties."
Over het onderzoek:
Ipsosondervroeg namens Sophos 201 C-level managers en
-managers uit de retail-, diensten- en productiesector in Duitsland
en 50 elk in Oostenrijk en Zwitserland over IT-beveiliging in hun bedrijven.
bedrijven.