Cyber Health – Wat moet je daar mee?

Vorige week maandag is door een aantal Engelstlaige publicaties, online en print, aandacht besteed aan onderzoek van de Overheid. Het resultaat van dat onderzoek heeft de pakkende titel “Cyber Governance Health Check” meegekregen en daarover viel het nodige te schrijven.

Opdrachtgever

Het eerste wat ons in Nederland opvalt is natuurlijk de opdrachtgever, dat is de Minister of State for Digital. Schijnbaar is het digitale domein bij de Britten dus belegd bij een minister of staatssecretaris. In Nederland is er weinig animo een bewindspersoon het hele digitale domein te laten beheren. Tot zover het dat deel van het onderzoek. Veel interessanter is natuurlijk wie er zijn bevraagd en wat de uitkomsten waren. De vragenlijsten zijn ingevuld door 105 vertegenwoordigers van FTSE350 bedrijven. Dat staat dus voor 350 beursgenoteerde bedrijven en dat is een grotere groep dan de bekendste multinationals.

Cyber risico

Het onderzoek wordt sinds 2013 gehouden en laat zien op welke punten de kennis van CxO’s van dit soort bedrijven in orde is en waar de kennis kan worden verbeterd. Dat nog niet alles onder controle is blijkt direct al uit de eerste vraag. Let wel: dit zijn beursgenoteerde bedrijven die aan meldingsplichten, regels en audits zijn onderworpen en waarvan je mag verwachten dat ze weten dat er een GDPR aan zit te komen. 43% van deze bedrijven beweert “a clear understanding” te hebben van de digital key assets zijn van het bedrijf. Dat is weliswaar een forse stap voorwaarts ten opzichte van de 32% die bij de 2015/16 meting werd gerapporteerd, maar daar is nog heel veel te doen.

Uiteenlopende kennis

De vervolgvraag betreft de risico’s. Op de vraag of men begrijpt wat de impact kan zijn van verlies van die key assets zegt 58% dat heel goed te weten. Die twee scores naast elkaar gelegd geeft het beeld dat men meer op de hoogte is van het bestaan van risico’s dan dat men weet wat er dan precies onder vuur kan liggen. De verklaring daarvoor komt even later terug. Minder dan 10% van de FTSE350 bedrijven geeft aan dat het management maximaal wordt geïnformeerd over de risico’s en daarvan afgeleid de mogelijke oplossingen, iets meer dan 30% zegt dat er “uitgebreid” wordt geïnformeerd en ruim 50% geeft aan dat die informatie beperkt of schaars is.

Voorzichtig kan worden gesteld dat de kennis bij grotere bedrijven waarschijnlijk fors uiteenloopt. Ze worden daarbij ook zeer verschillend “gevoed”, bij iets meer dan 30% staat het onderwerp “occasionally” op de agenda. Tot de kennis wordt ook gerekend weten hoe om te gaan met een “cyber risk incident” zoals verlies van data of dergelijke. Dat is dus het type incident waarvoor we in Nederland al de meldplicht hebben en waarvoor volgend jaar de GDPR voor andere spelregels gaat zorgen. 68% van de bedrijven heeft op board niveau 0,0 cursus of training gevolgd hoe om te gaan met een dergelijk incident, 18% heeft “Wel eens” getraind en slechts 2% claimt door meerdere trainingen over goede kennis te beschikken.

Cyber Health?

Het mooie aan dit onderzoek is dat er geen verkoopverhaal aan verbonden is dat de vragen en antwoorden kleurt of stuurt. Je kunt met recht lachen om het centrale begrip cyber health, maar als je kijkt naar dit onderzoek begrijpt iedereen wel wat er mee wordt bedoeld. Iedereen zal eveneens door hebben dat er nog echt bij een heel hoop bedrijven sprake is van te weinig kennis. Het meest opvallende daaraan is dat het hier gaat om grotere bedrijven.

Er is geen enkele indicatie aan te nemen dat de situatie in Nederland zoveel anders zal zijn. Dus ga er niet van uit dat je grotere klanten automatische meer kennis van cyber health hebben dan de kleine ambachtelijke fietsenmaker of bakker op de hoek waarvoor je de website host.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen