Cyber Governance onderzoek Volwassenheid van cyber beheersing binnen Nederlandse organisaties

Transcriptie

1 Cyber Governance onderzoek Volwassenheid van cyber beheersing binnen Nederlandse organisaties PwC Nederland Mei 2014

2 Inhoud Introductie Management Samenvatting Resultaten Deel 1: Overzicht van resultaten Deel 2: Additionele resultaten Bijlagen Bijlage A: Overzicht van sector classificatie Bijlage B: PwC en Cyber beveiliging PwC 2

3 Introductie Waarom een Cyber governance onderzoek in Nederland? De zichzelf snel ontwikkelende digitale tegenstanders zijn gecommitteerd om hun acties te richten op organisaties waar ze waardevolle data kunnen stelen, dienstverlening kunnen ontregelen en toegang kunnen verkrijgen voor misbruik, nu en in de toekomst. Recente incidenten hebben laten zien dat cyber dreigingen relevant zijn voor alle sectoren, niet alleen organisaties die te maken hebben met financiële informatie of persoonsgegevens. Het resultaat is dat cyber beveiliging nu wordt gezien als strategisch thema dat aandacht van het bestuur verdient en niet alleen die van de IT afdeling. Wat is het doel van dit Cyber governance onderzoek en hoe kan dit u helpen? Het doel van dit Cyber governance onderzoek is om inzicht te geven in de volwassenheid van cyber beheersing onder de grootste Nederlandse organisaties en de afzonderlijke deelnemende organisaties te laten zien hoe ze zich verhouden tot andere organisaties. Toegevoegde waarden voor u en uw organisatie zijn de volgende: Beter begrip van de aard en omvang van Cyber dreigingen; Balans opmaken van de voor u relevante Cyber risico's; Vergroten van bewustwording; Cyber governance volwassenheid van uw eigen organisatie evalueren. Uiteindelijk dient dit onderzoek bij te dragen aan verbetering van uw en de Nederlandse Cyber capaciteiten en hiermee ook onze gezamenlijke internationale concurrentiepositie. Waarom is dit onderzoek specifiek gericht op senior management? Tijdens de laatste bijeenkomst van het World Economic Forum in Davos richtten bestuurders uit commerciële en publieke sectoren zich op de belangrijkste opkomende wereldwijde risico's, waaronder Cyber security. Internationale onderzoeken laten zien dat bestuurders de grootte en de impact van dit kritische onderwerp in veel gevallen nog onvoldoende onderkennen. Deze dreigingen zijn echter organisatie brede issues die de strategische doelstellingen direct kunnen raken. Daarom vereist het cyber risico aandacht en prioriteitstelling op bestuurdersniveau. 3

4 Introductie Uitsplitsing van de resultaten De resultaten van de deelnemende 33 organisaties uit verschillende sectoren zijn geaggregeerd en worden grafisch weergegeven in de volgende deelhoofdstukken: Begrip van de dreigingen; Leiderschap; Risico management. De overige resultaten (deel 2 van dit rapport) zijn verdeeld onder de volgende rubrieken: Profiel van de deelnemers; Cyber incidenten; Bewustzijn van hulp en ondersteuning; Voltooiing van de vragenlijst. Hoe de resultaten in te zetten voor uw eigen doeleinden Deelname aan dit onderzoek heeft PwC in staat gesteld om dit rapport te genereren dat een totaal beeld geeft van de Cyber volwassenheid in Nederland. Wij adviseren u het volgende: 1. Bespreek de inzichten in dit rapport met uw vertrouwde adviseurs; 2. Bespreek het rapport en de aanbevelingen met het voornaamste bestuursorgaan binnen uw organisatie om hen in staat te stellen de strategische richting uit te stippelen. Dit rapport heeft niet als doel een volledig beeld van en een oordeel over de IT en cybersecurity prestaties van uw organisatie te geven. Vertrouwelijkheid De informatie verkregen via deze vragenlijst is zo veilig als mogelijk opgeslagen door de platform aanbieder. In aanvulling op de getroffen maatregelen om de vertrouwelijkheid van individuele resultaten te waarborgen zijn de betrokken industrie sectoren in dit onderzoek geaggregeerd. Een gedetailleerde uiteenzetting van de verschillende industrie sectoren vindt u in bijlage A. PwC 4

5 Introductie Wij geloven dat dit onderzoek de Nederlandse Cyber competenties kan versterken en onze gezamenlijke internationale concurrentiepositie kan verbeteren. Bovendien geeft dit rapport u een beeld van de benadering van IT aansturing binnen uw organisatie, in vergelijking met die van andere organisaties. Het National Cyber Security Center (NCSC) ondersteunt dit PwC initiatief en nodigt alle organisaties uit om het gesprek aan te gaan met PwC over de resultaten. Dit rapport toont u hoe uw organisatie zich verhoudt tot zijn peers en concurrenten op het gebied van beheersing van Cyber dreigingen. We zijn, indien gewenst, bereid om impact van deze inzichten te bespreken, dan wel u te faciliteren bij de ontwikkeling van een actieplan. Met vriendelijke groet, Gerwin Naber Partner Forensic Services +31 (0) gerwin.naber@nl.pwc.com Erwin de Horde Partner Risk Assurance +31 (0) erwin.de.horde@nl.pwc.com Otto Vermeulen Partner Consulting Technology +31 (0) otto.vermeulen@nl.pwc.com

6 Management Samenvatting Management dashboard

7 Management Samenvatting BELANGRIJKE ZAAK WIE IS DE RISICO EIGENAAR? IT IS EEN BEDRIJFS-RISICO 46% van de deelnemers vinden dat bestuurders cyber risico s zeer serieus nemen, echter 39% vindt dat bestuurders meer aandacht voor cyber risico s dienen te hebben Gevraagd naar eigenaarschap van cyber risico s binnen de organisatie werd gevarieerd geantwoord. 14 % CEO 29 % 25 % HOOFD IT 39% van de deelnemers gaf aan dat het strategisch risico register een cyber-risico categorie bevat. VOORBEREIDE BESTUURDER De meeste deelnemers (68%) denken dat de RvB enigszins gekwalificeerd is om innovatie en risico te kunnen managen in het digitale tijdperk. CFO TRAIN UW BESTUUR 85% van de deelnemers heeft in het afgelopen jaar geen training gevolgd op het gebied van cyber- en Informatiebeveiliging en 96% gaf aan dat collega-bestuurders dit ook niet hebben gedaan. 7% gaf aan dat bestuurders nauwelijks gekwalificeerd zijn. 68% denkt dat het bestuur enigszins gekwalificeerd is. 11% denkt dat bestuurders goede kwalificaties hebben. Collega s die training hebben gevolgd. deelnemers die training hebben gevolgd deelnemers die geen training hebben Collega s die geen training hebben gevolgd. gevolgd. PwC 7

8 Management Samenvatting KENNIS VAN UW VOORNAAMSTE DATA ASSETS 43% van de deelnemers zegt dat de RvB een zeer goed begrip heeft van de belangrijkste dataen informatie elementen binnen de organisatie. Een minimaal begrip Een erg goed begrip No answer Een basaal begrip DE IMPACT VAN EEN CYBERAANVAL WIE HEEFT ER BESCHIKKING OVER UW BELANGRIJKSTE INFORMATIE? 57% gaf aan dat het bestuur een acceptabel begrip heeft met welke derde partijen belangrijke informatie wordt gedeeld. 11% gaf aan dat dit begrip onvoldoende is 57% 11% INFORMATIE DELING BEGRIP VAN DE BEDREIGINGEN 57% van de RvB s ontvangt geen reguliere updates met betrekking tot potentiële cyber dreigingen. 57% 80% van de deelnemers denkt dat het bestuur/management minimaal voldoende begrip heeft van de potentiële impact van data en/of informatieverlies. Goed / Voldoende begrip 50% van de deelnemers gaf aan dat werknemers binnen het bedrijf worden aangemoedigd om informatie te delen met andere organisaties om zo cyber dreigingen tegen te gaan. Slecht begrip / Geen antwoord 0% 20% 40% 60% 80% 100% PwC 8

9 DEEL 1 Overzicht resultaten PwC 9

10 Begrip van de dreigingen Heeft de RvB / het directie team een goed begrip van wat de belangrijkste informatie en data is van de Organisatie (Bijv. IP, Financieel, Bedrijfs-/Strategische Informatie, klant- /persoonsgegevens, et cetera)? Een erg goed begrip 40% van de deelnemers geeft aan dat de RvB / het directie team alleen een basaal begrip heeft van wat de belangrijkste informatie en data elementen zijn binnen de organisatie, waarbij 43% aangeeft een erg goed begrip te hebben. Een basaal begrip Een minimaal begip Een slecht begrip 0% 10% 20% 30% 40% 50% Heeft de RvB / het directie team een goed begrip van de waarde van deze elementen? (Bijv. Financieel, Reputatie, et cetera)? Een erg goed begrip Een basaal begrip De meerderheid van de deelnemers geeft aan dat de RvB / het directie team een erg goed begrip heeft van de waarde van informatie en databronnen binnen de organisatie. Daarnaast denkt 23% dat de RvB over een basaal begrip beschikt. Een minimaal begip Een slecht begrip 0% 10% 20% 30% 40% 50% 60% 70% PwC 10

11 Begrip van de dreigingen Heeft de RvB / het directie team een goed begrip van wat de Cyber bedreigingen en zwakheden van de organisatie zijn met betrekking tot die belangrijke informatie- en dataelementen? Een minimaal begrip Een slecht begrip Een basaal begrip 60% van de deelnemers denkt dat het directie team / RvB een basaal begrip heeft van dreigingen en zwakheden met betrekking tot belangrijke informatie- en dataelementen Een erg goed begrip 0% 10% 20% 30% 40% 50% 60% 70% Wat is het begrip van de directie ten aanzien van de mogelijke resulterende impact (bijvoorbeeld op klanten, prijs van het aandeel, of reputatie) door het verlies of ontwrichting van deze elementen? Een slecht begrip Een minimaal begrip Een basaal begrip Een erg goed begrip 47% van de deelnemers gelooft dat de directie een erg goed begrip heeft van de mogelijke impact van data- en informatieverlies. Echter 40% heeft een basaal of minimaal begrip. 0% 10% 20% 30% 40% 50% PwC 11

12 Begrip van de dreigingen Beoordeelt de RvB / het directie team periodiek de belangrijkste informatie- en dataelementen (persoonsgegevens in het bijzonder) om de juridische, ethische en beveiliging implicaties vast te stellen die ontstaan door het behouden van dat bezit? Grondig De helft van de deelnemende organisaties beoordeelt de belangrijkste informatie- en dataelementen (bijna) nooit of heeft geen idee. Uiteindelijk gelooft 17% dat er grondige beoordelingen plaatsvinden. Ongeveer Bijna nooit Nooit 0% 10% 20% 30% In welke mate is de cyber risico discussie van uw RvB / directie team onderbouwd met up-to-date management informatie? Weinig inzicht Enige informatie Uitvoerige, doorgaans informatieve management informatie Robuuste management informatie als drijfveer achter de besluiten 66% denkt dat de cyber risico discussie gebaseerd is op enige management informatie en minder dan 10% denkt dat dit gebeurt op basis van robuuste management informatie. 16% geeft aan dat de cyber risico discussie binnen het MT weinig inzichten verkrijgt vanuit management informatie. Niet van toepassing, gelieve uit te leggen 0% 10% 20% 30% 40% 50% 60% 70% PwC 12

13 Begrip van de dreigingen Ontvangt uw RvB / directie team regelmatig inlichtingen van de CIO/Hoofd IT-Beveiliging over wie uw Organisatie aanvalt, hun methoden en drijfverenmotivatie? Nooit Bijna nooit Regelmatig Minder dan 30% van alle deelnemers geeft aan dat de RvB / het directie team regelmatig inlichtingen ontvangt met betrekking tot cyber aanvallen vanuit de CIO / het hoofd IT-beveiliging. Ruim 50% procent geeft aan dat dit (bijna) nooit gebeurt. 0% 10% 20% 30% 40% Zijn alle directieleden zich, naar uw mening, bewust van hun eigen persoonlijke cyber risico profiel (bijv. Hoe te voorkomen dat zij doelwit worden van een elektronische aanval)? Een slecht begrip Nauwelijks begrip Volledig begrip Twee derde van de deelnemers geeft aan dat de directieleden zich nauwelijks bewust zijn van hun persoonlijke cyber risico. Nog eens 14% geeft aan dat de RvB een slecht begrip hiervan heeft. 0% 20% 40% 60% 80% PwC 13

14 Begrip van de dreigingen Wordt de technische staf aangemoedigd door de directie om officiële informatiedeling sessies te starten met organisaties in uw sector en/of de markt om te vergelijken met en leren van anderen en opkomende bedreigingen te identificeren? Ja Nee De helft van de deelnemers heeft aangegeven dat het technisch personeel wordt aangemoedigd om kennisdeling sessies te starten met andere organisaties om zodoende cyber security dreigingen tegen te gaan. Bijna een derde van de deelnemers denkt dat de technische staf hier niet toe wordt aangemoedigd. 0% 10% 20% 30% 40% 50% 60% PwC 14

15 Leiderschap Hoe regelmatig wordt uw strategisch risico register beoordeeld en bediscussieerd door de raad van bestuur (RvB) / het directie team? (Of, indien u geen formele registratie heeft, hoe vaak worden strategische risico's besproken door de RvB / het directie team?) Wij hebben geen strategisch risico registratie Geenszins / Wordt alleen gecorrespondeerd Wordt besproken in een jaarlijkse vergadering Wordt besproken in een halfjaarlijkse vergadering Wordt elk kwartaal besproken Wordt elke vergadering besproken. 0% 10% 20% 30% Verwacht u of uw organisatie dat het netto cyber risico toeneemt of afneemt in het komende jaar, in termen van kans op voorkomen? Neemt significant toe Neemt toe Blijft hetzelfde Neemt af Neemt significant af 66% van de deelnemers geeft aan het strategische risico minimaal eens per jaar te bespreken waarbij 28% dit op jaarbasis doet, 16% ieder half jaar en 22% op kwartaalbasis. Een kleine 10% van de deelnemers geeft aan geen strategisch risico register te hebben. De ruime meerderheid van de organisaties verwacht dat het netto cyber risico toeneemt in het komende jaar. 16% van de deelnemers verwacht dat deze toename significant is. 0% 10% 20% 30% 40% 50% 60% PwC 15

16 Leiderschap Hoe hoog is de impact van cyber risico's op uw organisatie? Niet belangrijk Enigszins belangrijk Erg belangrijk Bijna alle deelnemers vinden dat cyber risico s een belangrijke impact kunnen hebben op de organisatie, waarbij 35% aangeeft dat deze impact erg belangrijk kan zijn. 0% 10% 20% 30% 40% 50% Denkt u dat alle medewerkers zich comfortabel voelen bij het rapporteren van aangetaste of verloren informatie of gegevens? Nee Ik denk van niet Ik denk van wel Ja De helft van de deelnemers heeft aangeven dat medewerkers zich (waarschijnlijk) niet comfortabel voelen bij het melden van aangetaste dan wel verloren informatie. Van de overige deelnemers gaf een groot deel aan wel te denken dat medewerkers zich hier comfortabel bij voelen. 0% 10% 20% 30% 40% 50% PwC 16

17 Leiderschap Welke van de volgende beschrijvingen is het meest van toepassing op hoe er wordt omgegaan met cyber risico binnen het bestuurlijke proces van uw organisatie? Het is een technisch onderwerp, wat geen inspraak van de Directie behoeft. We hebben er wel eens over gehoord, maar het behoort niet tot onze kernactiviteiten. We luisteren af en toe bijvoorbeeld tijdens een halfjaarlijkse update, en we worden ingelicht als er iets We bespreken regelmatig cyber risico en we nemen besluiten (bijv. investeringsbeleid) Wij sturen actief op ons cyber risicoprofiel door het jaar heen Voor de meerderheid van de organisaties geldt dat cyber risico s meer als gelegenheids- dan als standaardbezigheid van het bestuur wordt gezien. Slechts 14% van de deelnemers gaven aan dat het bestuur cyber risico profielen actief / regelmatig bespreekt... 0% 5% 10% 15% 20% 25% 30% 35% Als het aankomt op de algehele aanpak van de organisatie ten aanzien van cyber risico, hoe bezorgd bent u dan persoonlijk? Erg bezorgd Bezorgd Geen bijzondere zorgen Rustig Erg rustig Bijna 50% van de deelnemers geeft aan bezorgd te zijn met betrekking tot de aanpak van cyber risico. Minder dan 40% van de deelnemers geeft aan dat ze geen bijzondere zorgen hebben. 0% 10% 20% 30% 40% 50% PwC 17

18 Leiderschap Welk bedrijfsorgaan of persoon is bestuurlijk verantwoordelijk voor het inschatten en monitoren van de impact en de waarschijnlijkheid van cyber bedreigingen voor de Organisatie? De algemene directie Uitvoerend bestuur Audit Commissie Risicobestuur of -commissie IT- of Beveiligingscommissie CEO / Algemeen directeur CFO / Financieel directeur COO / Proces directeur Voorzitter van de RvB / het directie team Hoofd IT Hoofd Beveiliging Andere leidinggevende. Graag specificeren Geen enkel bedrijfsorgaan of persoon heeft deze verantwoordelijkheid 0% 5% 10% 15% 20% 25% 30% Verantwoordelijkheid voor het monitoren en inschatten van cyber bedreigingen is belegd bij een diversiteit aan bedrijfsorganen/personen, met als meest voorkomend het hoofd IT, de CFO en de IT- of beveiligingscommissie. 7 procent van de deelnemers gaf aan dat niemand verantwoordelijk wordt gehouden voor deze taken. PwC 18

19 Leiderschap Ongeacht uw antwoord op de vorige vraag, welk bedrijfsorgaan of persoon zou (bestuurlijke) verantwoordelijkheid moeten hebben, naar uw mening? De algemene directie Uitvoerend bestuur Audit Commissie Risicobestuur of -commissie IT- of Beveiligingscommissie CEO / Algemeen directeur CFO / Financieel directeur COO / Proces directeur Voorzitter van de RvB / het directie team Hoofd IT Hoofd Beveiliging Andere leidinggevende. Graag specificeren Geen enkel bedrijfsorgaan of persoon heeft deze verantwoordelijkheid 0% 5% 10% 15% 20% 25% 30% In vergelijking met voorgaande vraag valt op dat deelnemers vinden dat het uitvoerende bestuur een grotere verantwoordelijkheid moet krijgen dan dat zij nu heeft. PwC 19

20 Leiderschap Wie is de meest senior "risico eigenaar" in de organisatie met betrekking tot cyber vraagstukken? CEO / Algemeen Directeur CFO / Financieel Directeur COO / Proces Directeur Voorzitter van de RvB / het directie team Hoofd IT Hoofd Beveiliging Andere leidinggevende. Graag Die hebben wij niet Risico eigenaarschap is belegd bij verschillende senior rollen binnen de organisaties, met de CFO (29%) als meest voorkomend. De CEO (14%) en hoofd IT (25%) werden ook vaak aangewezen. Het is onduidelijk of de hiërarchische verschillen in allocatie (Hoofd IT versus CEO of CFO) een indicatie geeft van de waarde die aan de risico s wordt gehecht. 0% 10% 20% 30% Wie is de meest senior "risico manager" in de organisatie met betrekking tot cyber vraagstukken? CEO / Algemeen Directeur CFO / Financieel Directeur COO / Proces Directeur Voorzitter van de RvB / het directie team Hoofd IT Hoofd Beveiliging Andere leidinggevende. Graag Die hebben wij niet Het hoofd IT is door 57% van alle deelnemers geselecteerd als meest senior cyber risico manager. Ook posities zoals CFO, hoofd beveiliging en de voorzitter van de RvB werden genoemd, echter geen enkele van deze posities ontving meer dan 11% van de stemmen. 0% 20% 40% 60% PwC 20

21 Leiderschap Waar in de organisatie, in bestuurlijke zin, wordt de "risico eigenaar" met betrekking tot cyber vraagstukken verantwoordelijk gehouden? RvB / Directie team Uitvoerend bestuur Audit Commissie Risico Bestuur of Commissie IT- of Beveiligingscommissie De cyber risico eigenaar legt over het algemeen verantwoordelijkheid af aan de directie, dit werd door 68% van de deelnemers bekrachtigd. Geen enkel ander antwoord werd door meer dan 10% van de deelnemers gegeven. Ander bestuur of commissie. Graag specificeren. Er bestaat geen bestuurlijke 0% 10% 20% 30% 40% 50% 60% 70% Heeft uw RvB / directie team de benodigde vaardigheden en kennis om innovatie en risico in de digitale omgeving te managen? Nauwelijks Enigszins Goede vaardigheden Wij zijn helemaal klaar voor het digitale tijdperk Ook al antwoordde maar 7% nauwelijks op deze vraag waren de deelnemers verder zuinig in het beoordelen van de vaardigheden van de RvB / directie. Veelal (68%) gaf men aan dat de RvB / directie enigszins over de benodigde vaardigheden beschikt, 11% noteerde goede vaardigheden en niemand was zodanig zelfverzekerd dat zij aangaven klaar te zijn voor het digitale tijdperk. 0% 10% 20% 30% 40% 50% 60% 70% PwC 21

22 Leiderschap Heeft u het gevoel dat de Organisatie genoeg doet om zichzelf te beschermen tegen cyber bedreigingen? Nee, de prestaties zijn onvoldoende Antwoorden met betrekking tot de algemene volwassenheid van organisaties om zich te kunnen beschermen tegen cyber bedreigingen zijn bijna volledig Ja, we zijn met goede dingen bezig tegengesteld. Meer dan de helft van de deelnemers (69%) geeft aan dat er meer gedaan moet worden en de rest (31%) geeft aan met de goede dingen bezig te zijn. Nee, er moet meer aan worden gedaan Ja, onze standaarden zijn uitstekend 0% 20% 40% 60% 80% Nemen collega's uit het bestuur het cyber risico voldoende serieus? Helemaal niet serieus Niet serieus genoeg Erg serieus Te serieus 46% van de deelnemers heeft aangegeven dat bestuur collega s het cyber risico erg serieus nemen. Echter, ook 39% gaf aan dat het cyber risico niet serieus genoeg wordt genomen. Opvallend is dat 15% niet weet of het bestuur het cyber risico serieus neemt. 0% 10% 20% 30% 40% 50% PwC 22

23 Leiderschap Heeft u persoonlijk een cyber beveiliging-/ informatiebeveiligingstraining gevolgd in de afgelopen 12 maanden? 85% van de deelnemers heeft geen cyber/informatie beveiligingstraining gevolgd in het afgelopen jaar. Ja Nee 0% 20% 40% 60% 80% 100% Hebben andere bestuursleden een cyber beveiliging-/ informatiebeveiligingstraining gevolgd in de afgelopen 12 maanden? Ja 96% van de deelnemers heeft aangegeven dat geen enkele collega cyber security training heeft gevolgd in het afgelopen jaar. Nee 0% 20% 40% 60% 80% 100% PwC 23

24 Leiderschap Hoeveel investeert de organisatie in cyber verdediging? Te veel Een redelijke hoeveelheid (precies genoeg) Niet zoveel (precies genoeg) 42% van de deelnemers gaf aan een redelijke hoeveelheid te besteden aan cyber verdediging. 23% gelooft dat er te weinig geïnvesteerd wordt. Van het resterende deel gaf de meerderheid aan niet zoveel te investeren in cyber verdediging. Te weinig 0% 10% 20% 30% 40% 50% Wat is de budgetstrategie voor uw cyber verdediging? Vermindering van 10% of meer ten opzichte van het Vermindering van 5-10% ten opzichte van het vorige jaar Vermindering van 0-5% ten opzichte van het vorige jaar Hetzelfde budget als het voorgaande jaar Toename van 0-5% ten opzichte van het vorige jaar Toename van 5-10% ten opzichte van het vorige jaar 54% van de deelnemers heeft een toenemend budget voor cyber verdediging. Voor 35% van de deelnemers blijft het budget gelijk. Tenslotte geeft 4% aan dat het budget voor cyber-verdediging beperkt (met minder dan 5%) zal dalen. Toename van 10% of meer ten opzichte van het vorige 0% 10% 20% 30% 40% PwC 24

25 Risico management Hoe volwassen en ontwikkeld is uw formele risico management systeem (inclusief koppeling met strategie, rapportage vereisten en instrumenten)? Wij hebben geen formeel risico management Erg nieuw Onvolwassen Redelijk volwassen Volwassen Erg volwassen De meerderheid van de deelnemers classificeert het risicomanagement systeem als (redelijk) volwassen waarbij 35% aangeeft een onvolwassen, erg nieuw of geen formeel risico management systeem te hebben. 0% 10% 20% 30% 40% Waar wordt het strategisch risico register nog meer beoordeeld of besproken? Nergens Commissie op een lager niveau IT- of Beveiligingscommissie Risicobestuur of -commissie Audit Commissie Operationeel bestuur of Uitvoerende Commissie Op meer dan één plek 0% 10% 20% 30% 40% In 31% van de zaken wordt het strategisch risico register in meerdere samenstellingen besproken. Daarnaast bespreekt 19% van de deelnemers het strategisch risico register in de IT- of Beveiligingscommissie en nog eens 19% bespreekt dit in de Auditcommissie. PwC 25

26 Risico management Bevat het strategisch risico register een "cyber risico" categorie? Nee Ja Ja, maar is geclassificeerd als Bijna 50% van de deelnemers gaf aan een cyber risico categorie in het strategisch risico register te hebben opgenomen (of opgenomen te hebben, echter op andere wijze geclassificeerd). 39% geeft aan cyber risico s niet te hebben opgenomen in het strategische risico register. 0% 10% 20% 30% 40% Hoe goed zijn de cyber risico's beschreven in het strategisch risico register (i.e., begrijpelijk voor een breed bestuurlijk publiek), en de mogelijke consequenties voor de organisatie? Niet goed Basaal Volgens een groot deel van de deelnemers (71%) is de kwaliteit van de cyber risico beschrijving van een basaal of lager niveau. Uitgebreid 0% 10% 20% 30% 40% 50% PwC 26

27 Risico management Hoe belangrijk of significant is het cyber risico, vergeleken met alle andere strategische risico's waar de organisatie mee geconfronteerd wordt? Top / Groep Risico Medium / Segment Risico Laag / Operationeel Risico In vergelijking met andere risico s gaven deelnemers aan dat cyber risico s worden geclassificeerd als gemiddeld (42%) of laag (39%) risico. Maar 10% gaf aan dat cyber risico s als top risico s worden beschouwd 0% 10% 20% 30% 40% 50% In welke mate richt uw RvB / directie team zich uitdrukkelijk op cyber risico, zowel ten aanzien van bestaande bedrijfsactiviteiten als voor nieuwe digitale innovaties? Niet echt Losjes Bij de meeste organisaties richt de RvB / het directie team zich niet echt dan wel losjes op cyber risico (63%). 20% heeft het wel duidelijk omschreven en begrepen. Duidelijk omschreven en begrepen 0% 10% 20% 30% 40% 50% PwC 27

28 Risico management Begrijpt de RvB / het directie team wat de belangrijkste informatie of data is die wordt gedeeld met derden en op welke wijze deze data wordt gedeeld (inclusief toeleverancier, klanten, adviseurs en outsourcing partners)? Slecht begrip Nauwelijks acceptabel Basaal begrip / Acceptabel Een goed begrip 57% van de deelnemers denkt dat de RvB / directie een basaal of acceptabel begrip heeft van hoe en welke informatie wordt gedeeld met derde partijen. 18% van de deelnemers denkt dat de RvB hier een slecht dan wel nauwelijks acceptabel begrip van heeft. 0% 10% 20% 30% 40% 50% 60% Heeft uw organisatie cyber risico's officieel aangekaart bij haar toeleveranciers (bijv.: duidelijke vereisten vastgesteld over hoe toeleveranciers omgaan met uw data)? Niet echt Enigszins Wordt officieel grondig beoordeeld Vormt een integraal onderdeel van ons Antwoorden op de vraag of cyber risico s officieel worden aangekaart bij toeleveranciers zijn redelijk gedistribueerd. 46% denkt dat dit enigszins of niet echt gebeurd. 21% geeft aan dat dit officieel grondig wordt beoordeeld en weer 21% geeft aan dat dit een integraal onderdeel vormt van het inkoop management proces. 0% 10% 20% 30% 40% PwC 28

29 DEEL 2 Additionele resultaten PwC 29

30 Profiel van de respondent Welke van de volgende omschrijvingen past het beste bij u? Leidinggevend lid van het Raad van Bestuur / directie team Lid raad van commissarissen / toezicht Bij 85% van de organisaties is deze enquête door een leidinggevend lid van de RvB / directie team ingevuld. 0% 20% 40% 60% 80% 100% Welke sector classificering is het meest van toepassing op de belangrijkste activiteiten van uw organisatie? Industriële en consumenten goederen en diensten Energie, Nutsbedrijven & Mijnbouw Financiële sector Gezondheidszorg Publieke sector - Lokaal Publieke sector - Nationaal Technologie, Media & Telecommunicatie Andere, graag specificeren De organisaties die deze enquête hebben ingevuld opereren in een grote variëteit aan sectoren. Dit toont aan dat cyber security een relevant thema is in verschillende sectoren. 0% 5% 10% 15% 20% PwC 30

31 Profiel van de respondent Welk percentage van de inkomsten/verkopen van uw organisatie wordt behaald buiten Nederland? % 60-79% 40-59% 20-39% 1-19% 0% Niet van toepassing 0% 5% 10% 15% 20% 25% 30% Een kwart van de deelnemers behaalt meer dan 80% van de omzet buiten Nederland. 18% genereert alle inkomsten in Nederland en nog eens 18% genereert meer dan 80% van de omzet in Nederland. Voor 21% van de deelnemers wordt vergelijkbare omzet in en buiten Nederland verdiend. Hoeveel werknemers heeft uw organisatie? (Inclusief fulltime en parttime) Meer dan % van de resultaten komen vanuit organisaties met werknemers. 21% van de antwoorden komt van kleinere organisaties ( werknemers). 9% van de deelnemende organisaties heeft meer dan werknemers 0% 5% 10% 15% 20% 25% 30% 35% PwC 31

32 Profiel van de respondent Hoeveel werknemers zijn gestationeerd buiten Nederland? % 60-79% 40-59% 20-39% 1-19% 0% Bij 39% van de deelnemende organisaties zijn alle werknemers gestationeerd binnen Nederland. Bij 15% van de organisaties werkt meer dan 80% buiten Nederland. 0% 10% 20% 30% 40% PwC 32

33 Cyber incidenten Heeft de organisatie, voor zover u weet, last gehad van meer of minder verdachte cyber gebeurtenissen in het afgelopen jaar? Toename: significant Toename: enigszins Stabiel / Geen verandering Afname: enigszins Afname: significant Waar bijna een vijfde deel van de deelnemers niet wist hoe deze vraag te beantwoorden, gelooft 46% dat het aantal verdachte cyber gebeurtenissen in het afgelopen jaar stabiel is gebleven. 35 % denkt dat dit aantal is gestegen. 0% 10% 20% 30% 40% 50% Hoe goed heeft de Organisatie, voor zover u weet, gereageerd op deze verdachte gebeurtenissen? Slecht / Onacceptabel Niet goed Redelijk / Gemiddeld Redelijk goed Erg goed / Uitstekend 0% 10% 20% 30% 27% van de deelnemers zegt de organisatie redelijk goed reageert op verdachte cyber gebeurtenissen. 23% denkt gemiddeld en nog eens 19% denkt dat de organisatie hier uitstekend op heeft gereageerd. 19% van de deelnemers zegt geen idee te hebben hoe goed de organisatie reageert op verdachte cyber gebeurtenissen. PwC 33

34 Cyber incidenten Waar, in bestuurlijke zin, werden deze verdachte gebeurtenissen besproken? RvB / Directie team Uitvoerend bestuur Audit Commissie Risico Bestuur of Commissie IT- of Beveiligingscommissie Ander bestuur of commissie Deze werden niet besproken op een bestuurlijk niveau 35% van de deelnemers geeft aan dat de verdachte gebeurtenissen door de directie / RvB besproken worden. 19% gelooft dat dit door de IT- of beveiligingscommissie wordt gedaan, maar ook 19% geeft aan dat dit niet op bestuurlijk niveau wordt besproken. 0% 5% 10% 15% 20% 25% 30% 35% Is uw Organisatie in staat om de kwantitatieve en kwalitatieve impact van de verdachte cyber gebeurtenissen te bepalen? Slecht / Onacceptabel Niet goed Redelijk / Gemiddeld Redelijk goed Erg goed / Uitstekend Niet van toepassing. Graag 39% van de deelnemers geeft aan dat de organisatie redelijk goed in staat is om de impact van cyber gebeurtenissen te bepalen. 19% meent dat de organisatie hier gemiddeld op scoort en 31% vindt dat men dit niet goed dan wel slecht bepaalt. PwC 0% 10% 20% 30% 40% 34

35 Cyber incidenten Is uw Organisatie klaar om cyber inbraken (cyber breaches) te rapporteren richting de regelgevers en/of klanten? Ja Nee 69% van de organisaties is bezig om de rapportage competentie met betrekking tot cyber incidenten in te richten en/of te verbeteren. Daar zijn we mee bezig 0% 20% 40% 60% 80% 100% Is uw organisatie goed voorbereid om in de toekomst om te kunnen gaan met verdachte cyber gebeurtenissen? Slecht / Onacceptabel Niet goed Redelijk / Gemiddeld Redelijk goed 27% van de organisaties geeft aan redelijk goed/erg goed op toekomstige cyber gebeurtenissen te zijn voorbereid. 39% denkt hier gemiddeld te scoren en 27% zegt hier niet goed op voorbereid te zijn. Erg goed / Uitstekend 0% 10% 20% 30% 40% PwC 35

36 Bewustzijn van hulp en ondersteuning Bent u zich bewust van standaarden, richtlijnen of certificaten die uw organisatie volgt of heeft met betrekking tot cyber security? Ja Nee Geen antwoord 0% 20% 40% 60% 80% 77% van de deelnemers is op de hoogte van de richtlijnen gevolgd door de organisatie op het gebied van cyber security. Weet u tot wie u zich moet richten voor goed geïnformeerd advies ten aanzien van cyber beveiliging? Ja. Graag specificeren Nee Ik heb geen cyber beveiliging advies nodig 0% 20% 40% 60% 80% 12% van de deelnemers geeft aan niet te weten tot wie zich te moeten richten voor goed advies ten aanzien van cyber beveiliging. 73% van de deelnemers weet wel waar dit te vinden, namelijk: Specialisten Hoofd IT Externe advies partijen Peers, etc. PwC 36

37 Voltooiing van de vragenlijst Om in staat te zijn deze resultaten te optimaliseren, vragen wij u deze vragenlijst niet namens u te laten invullen door de CIO/IT directeur of anderen. Echter, mocht u dit toch gedaan hebben, zou u dan kunnen aangeven wie u heeft geholpen met het invullen van deze vragenlijst? Niemand CEO / Algemeen Directeur CFO / Financieel Directeur COO / Proces Directeur CIO / IT Directeur Chief Risk Officer / Risico directeur Een combinatie van het bovenstaande Anders, te weten 39% van de geadresseerden heeft de enquête zelf ingevuld. Dit is ook vaak uitbesteed aan de CIO / IT directeur. Anderen aan wie deze enquête is uitbesteed zijn: Information security officer CISO Chief audit executive Controller Compliance Officer 0% 10% 20% 30% 40% PwC

38 Bijlagen PwC 38