Veel mensen denken dat Nederlandse IT-beveiligingsprofessionals onder zware druk staan door de stijgende aandacht voor cybersecurity. Zij blijken echter meer vastberaden en zelfverzekerder te zijn dan verwacht. De echte spanningen in hun werk worden veroorzaakt door de moeilijke gesprekken die IT-beveiligingsprofessionals moeten hebben met hun senior management over de gevolgen van cyberaanvallen.

Dit blijkt uit onderzoek van Palo Alto Networks. Het onderzoek laat ook een behoefte zien aan meer en andere systemen en processen voor de uitgebreide rapportages over aanvallen. Deze zijn vereist volgens de ‘General Data Protection Regulation’ (GDPR) en de ‘Directive on security of network and information systems’ (NIS Directive).

‘Cyberincidenten zijn kansen om te leren’

Het stijgende aantal cyberaanvallen in de afgelopen jaren heeft er niet voor gezorgd dat IT-beveiligingsprofessionals bij de pakken neer gaan zitten. Sterker nog, ze zijn nu meer ervaren en vastberaden om aanvallen te voorkomen. Op de vraag wat voor impact een cyberincident op hen heeft, antwoordde de meerderheid (60 procent) dat het hen de kans gaf om te leren van de ervaring en zij hier sterker van terug zouden komen. Slechts tien procent gaf aan dat dit zou leiden tot het beëindigen van hun baan. Specifiek gekeken naar de Nederlandse IT-beveiligingsprofessionals, valt op dat zij zelfverzekerd zijn over cybersecurity, maar niet over hun relatie met het senior management. Dit gesprek wordt door de Nederlandse IT-beveiligingsprofessionals als erg ongemakkelijk gezien. 36 procent van hen vindt het gesprek het meest ongemakkelijk wanneer er een incident plaatsvindt dat voorkomen had kunnen worden, maar het resultaat is van menselijk falen. Dat is veel hoger dan het Europese gemiddelde, dat op 27 procent ligt.

De Nederlandse IT-beveiligingsprofessionals maken evenals hun Europese ambtsgenoten gemiddeld drie cyberincidenten per maand mee. In Nederland escaleerden deze incidenten vaker (48 procent) dan gemiddeld in Europa (45 procent), en veel vaker dan in het Verenigd Koninkrijk (33 procent).

Europese wetgeving

De wetgeving die onlangs zijn intrede heeft gedaan binnen de EU stelt nieuwe eisen aan bedrijven, zoals het verplicht melden van datalekken. In vergelijking met andere Europese landen zijn de Nederlandse IT-beveiligingsprofessionals het minst bezorgd om het feit dat inbreuken moeten worden gerapporteerd naar autoriteiten, ook al zou een ernstig datalek kunnen leiden tot reputatieschade. Slechts 35 procent van de Nederlandse respondenten gaf aan bezorgd te zijn, terwijl in de organisaties uit andere Europese landen 43 procent dit aangaf.

66 procent van de Nederlandse respondenten voorspelt daarnaast dat de beleidsvereisten een positieve impact hebben op het bedrijf, wat net boven het Europese gemiddelde van 65 procent is. Waar de helft van de Europese IT-beveiligingsprofessionals denkt dat de beleidsvereisten tot ongemakkelijke gesprekken over databeveiliging zullen leiden met het senior management, is onder de Nederlandse IT-beveiligingsprofessionals slechts 39 procent hiervan overtuigd.

‘Open dialoog is noodzakelijk’

Greg Day, vice president en regional chief security officer, EMEA, Palo Alto Networks: “De spanningen en verschillen in begrip die dit onderzoek aantoont zijn duidelijk zichtbaar. Wanneer ik praat met bedrijven in Europa help ik hen vaak met het bepalen van hoe IT-beveiligingsprofessionals en de rest van het senior management dichterbij elkaar kunnen komen als het gaat om serieuze en strategische cybersecurity issues. Technologie kan helpen in het vereenvoudigen van de processen bij het vermijden en automatiseren van effectieve reacties op incidenten. Het is duidelijk dat er een open dialoog moet zijn binnen het senior management om preventiestrategieën van cyberaanvallen uit te voeren en te blijven verbeteren.”

Veel senior leiders hebben moeite met het begrijpen van cyberrisico’s. Palo Alto Networks adviseert securityprofessionals daarom heldere meeteenheden te definiëren voor en een gemeenschappelijk taal te hanteren over cybersecurity:

  • Betrek senior leiders binnen de preventiestrategie bij een gereedheidsbeoordeling om de cybersecurity processen te testen, zodat zij deze begrijpen en bekend zijn met de issues en risico’s hiervan.
  • Benadruk hoe nieuw beleid, zoals de GDPR en de NIS Directive, de maatstaf voor corporate responsibility verhoogt. De behoefte aan state of the art cybersecurity is nog nooit zo groot geweest, maar herinner het senior management eraan dat het een doorgaand proces is zonder eind.

Wees voorbereid
Cyberincidenten zijn nooit volledig te voorkomen. Wees daarom voorbereid en weet hoe u moet reageren. Veel incidenten kunnen echter vermeden worden door te focussen op de juiste principes, het inzetten van de automatisering, het introduceren van betere educatie en een focus op preventie.


Deze bijdrage verscheen eerder op https://executive-people.nl/564748/rapporteren-van-cyberincidenten-bij-senior-management-leidt-tot-spanningen.html