www.pwc.nl
Cyber Governance onderzoek Volwassenheid van cyber beheersing binnen Nederlandse organisaties
PwC Nederland Mei 2014
Inhoud Introductie Management Samenvatting Resultaten Deel 1: Overzicht van resultaten Deel 2: Additionele resultaten
Bijlagen Bijlage A: Overzicht van sector classificatie Bijlage B: PwC en Cyber beveiliging
PwC
2
Introductie Waarom een Cyber governance onderzoek in Nederland?
De zichzelf snel ontwikkelende digitale tegenstanders zijn gecommitteerd om hun acties te richten op organisaties waar ze waardevolle data kunnen stelen, dienstverlening kunnen ontregelen en toegang kunnen verkrijgen voor misbruik, nu en in de toekomst. Recente incidenten hebben laten zien dat cyber dreigingen relevant zijn voor alle sectoren, niet alleen organisaties die te maken hebben met financiële informatie of persoonsgegevens. Het resultaat is dat cyber beveiliging nu wordt gezien als strategisch thema dat aandacht van het bestuur verdient en niet alleen die van de IT afdeling. Wat is het doel van dit Cyber governance onderzoek en hoe kan dit u helpen? Het doel van dit Cyber governance onderzoek is om inzicht te geven in de volwassenheid van cyber beheersing onder de grootste Nederlandse organisaties en de afzonderlijke deelnemende organisaties te laten zien hoe ze zich verhouden tot andere organisaties. Toegevoegde waarden voor u en uw organisatie zijn de volgende: • • • •
Beter begrip van de aard en omvang van Cyber dreigingen; Balans opmaken van de voor u relevante Cyber risico's; Vergroten van bewustwording; Cyber governance volwassenheid van uw eigen organisatie evalueren.
Uiteindelijk dient dit onderzoek bij te dragen aan verbetering van uw en de Nederlandse Cyber capaciteiten en hiermee ook onze gezamenlijke internationale concurrentiepositie.
Waarom is dit onderzoek specifiek gericht op senior management? Tijdens de laatste bijeenkomst van het World Economic Forum in Davos richtten bestuurders uit commerciële en publieke sectoren zich op de belangrijkste opkomende wereldwijde risico's, waaronder Cyber security. Internationale onderzoeken laten zien dat bestuurders de grootte en de impact van dit kritische onderwerp in veel gevallen nog onvoldoende onderkennen. Deze dreigingen zijn echter organisatie brede issues die de strategische doelstellingen direct kunnen raken. Daarom vereist het cyber risico aandacht en prioriteitstelling op bestuurdersniveau. 3
Introductie Uitsplitsing van de resultaten De resultaten van de deelnemende 33 organisaties uit verschillende sectoren zijn geaggregeerd en worden grafisch weergegeven in de volgende deelhoofdstukken: • Begrip van de dreigingen; • Leiderschap; • Risico management. De overige resultaten (deel 2 van dit rapport) zijn verdeeld onder de volgende rubrieken: • Profiel van de deelnemers; • Cyber incidenten; • Bewustzijn van hulp en ondersteuning; • Voltooiing van de vragenlijst. Hoe de resultaten in te zetten voor uw eigen doeleinden Deelname aan dit onderzoek heeft PwC in staat gesteld om dit rapport te genereren dat een totaal beeld geeft van de Cyber volwassenheid in Nederland. Wij adviseren u het volgende: 1. Bespreek de inzichten in dit rapport met uw vertrouwde adviseurs; 2. Bespreek het rapport en de aanbevelingen met het voornaamste bestuursorgaan binnen uw organisatie om hen in staat te stellen de strategische richting uit te stippelen. Dit rapport heeft niet als doel een volledig beeld van en een oordeel over de IT en cybersecurity prestaties van uw organisatie te geven. PwC
Vertrouwelijkheid De informatie verkregen via deze vragenlijst is zo veilig als mogelijk opgeslagen door de platform aanbieder. In aanvulling op de getroffen maatregelen om de vertrouwelijkheid van individuele resultaten te waarborgen zijn de betrokken industrie sectoren in dit onderzoek geaggregeerd. Een gedetailleerde uiteenzetting van de verschillende industrie sectoren vindt u in bijlage A. 4
Introductie Wij geloven dat dit onderzoek de Nederlandse Cyber competenties kan versterken en onze gezamenlijke internationale concurrentiepositie kan verbeteren. Bovendien geeft dit rapport u een beeld van de benadering van IT aansturing binnen uw organisatie, in vergelijking met die van andere organisaties. Het National Cyber Security Center (NCSC) ondersteunt dit PwC initiatief en nodigt alle organisaties uit om het gesprek aan te gaan met PwC over de resultaten. Dit rapport toont u hoe uw organisatie zich verhoudt tot zijn peers en concurrenten op het gebied van beheersing van Cyber dreigingen. We zijn, indien gewenst, bereid om impact van deze inzichten te bespreken, dan wel u te faciliteren bij de ontwikkeling van een actieplan.
Met vriendelijke groet, Gerwin Naber Partner Forensic Services +31 (0)88 792 63 02
[email protected]
Erwin de Horde Partner Risk Assurance +31 (0) 88 792 51 85
[email protected]
Otto Vermeulen Partner Consulting Technology +31 (0) 88 792 63 74
[email protected]
Management Samenvatting
Management dashboard
Management Samenvatting BELANGRIJKE ZAAK WIE IS DE RISICO EIGENAAR? 46% van de deelnemers vinden dat bestuurders cyber risico’s zeer serieus nemen, echter 39% vindt dat bestuurders meer aandacht voor cyber risico’s dienen te hebben
Gevraagd naar eigenaarschap van cyber risico’s binnen de organisatie werd gevarieerd geantwoord.
14
25
%
%
IT IS EEN BEDRIJFS-RISICO 39% van de deelnemers gaf aan dat het strategisch risico register een cyber-risico categorie bevat.
HOOFD IT
CEO 29
% CFO
VOORBEREIDE BESTUURDER De meeste deelnemers (68%) denken dat de RvB enigszins gekwalificeerd is om innovatie en risico te kunnen managen in het digitale tijdperk.
7% gaf aan dat 68% denkt dat het bestuurders bestuur enigszins nauwelijks gekwalificeerd is. gekwalificeerd zijn. PwC
11% denkt dat bestuurders goede kwalificaties hebben.
TRAIN UW BESTUUR 85% van de deelnemers heeft in het afgelopen jaar geen training gevolgd op het gebied van cyber- en Informatiebeveiliging en 96% gaf aan dat collega-bestuurders dit ook niet hebben gedaan.
deelnemers die training hebben gevolgd deelnemers die geen training hebben gevolgd.
Collega’s die training hebben gevolgd. Collega’s die geen training hebben gevolgd.
7
Management Samenvatting WIE HEEFT ER BESCHIKKING OVER UW BELANGRIJKSTE INFORMATIE?
KENNIS VAN UW VOORNAAMSTE DATA ASSETS 43% van de deelnemers zegt dat de RvB een zeer goed begrip heeft van de belangrijkste dataen informatie elementen binnen de organisatie.
57% gaf aan dat het bestuur een acceptabel begrip heeft met welke derde partijen belangrijke informatie wordt gedeeld.
Een minimaal begrip
Een basaal begrip
Een erg goed begrip
Geen idee
11% gaf aan dat dit begrip onvoldoende is
57% 11%
BEGRIP VAN DE BEDREIGINGEN 57% van de RvB’s ontvangt geen reguliere updates met betrekking tot potentiële cyber dreigingen.
57%
No answer
DE IMPACT VAN EEN CYBERAANVAL
INFORMATIE DELING
80% van de deelnemers denkt dat het bestuur/management minimaal voldoende begrip heeft van de potentiële impact van data en/of informatieverlies.
50% van de deelnemers gaf aan dat werknemers binnen het bedrijf worden aangemoedigd om informatie te delen met andere organisaties om zo cyber dreigingen tegen te gaan.
Goed / Voldoende begrip Slecht begrip / Geen antwoord
0%
20% PwC
40%
60%
80%
100% 8
DEEL 1
Overzicht resultaten
PwC
9
Begrip van de dreigingen Heeft de RvB / het directie team een goed begrip van wat de belangrijkste informatie en data is van de Organisatie (Bijv. IP, Financieel, Bedrijfs-/Strategische Informatie, klant/persoonsgegevens, et cetera)? 40% van de deelnemers geeft aan dat de RvB / het directie team alleen een basaal begrip heeft van wat de belangrijkste informatie en data elementen zijn binnen de organisatie, waarbij 43% aangeeft ‘een erg goed begrip’ te hebben.
Geen antwoord Niet van toepassing. Graag toelichten Geen idee Een erg goed begrip Een basaal begrip Een minimaal begip Een slecht begrip
0%
10%
20%
30%
40%
50%
Heeft de RvB / het directie team een goed begrip van de waarde van deze elementen? (Bijv. Financieel, Reputatie, et cetera)? Geen antwoord
De meerderheid van de deelnemers geeft aan dat de RvB / het directie team een erg goed begrip heeft van de waarde van informatie en databronnen binnen de organisatie. Daarnaast denkt 23% dat de RvB over een basaal begrip beschikt.
Niet van toepassing. Graag toelichten Geen idee Een erg goed begrip Een basaal begrip Een minimaal begip Een slecht begrip
0% 10% 20% 30% 40% 50% 60% 70%
PwC
10
Begrip van de dreigingen Heeft de RvB / het directie team een goed begrip van wat de Cyber bedreigingen en zwakheden van de organisatie zijn met betrekking tot die belangrijke informatie- en dataelementen? 60% van de deelnemers denkt dat het directie team / RvB een basaal begrip heeft van dreigingen en zwakheden met betrekking tot belangrijke informatieen dataelementen
Een minimaal begrip Een slecht begrip Een basaal begrip Een erg goed begrip Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
10%
20%
30%
40%
50%
60%
70%
Wat is het begrip van de directie ten aanzien van de mogelijke resulterende impact (bijvoorbeeld op klanten, prijs van het aandeel, of reputatie) door het verlies of ontwrichting van deze elementen? 47% van de deelnemers gelooft dat de directie een erg goed begrip heeft van de mogelijke impact van data- en informatieverlies. Echter 40% heeft een basaal of minimaal begrip.
Een slecht begrip Een minimaal begrip Een basaal begrip Een erg goed begrip Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
PwC
10%
20%
30%
40%
50%
11
Begrip van de dreigingen Beoordeelt de RvB / het directie team periodiek de belangrijkste informatie- en dataelementen (persoonsgegevens in het bijzonder) om de juridische, ethische en beveiliging implicaties vast te stellen die ontstaan door het behouden van dat bezit? Geen antwoord
De helft van de deelnemende organisaties beoordeelt de belangrijkste informatie- en dataelementen (bijna) nooit of heeft geen idee.
Niet van toepassing. Graag toelichten
Uiteindelijk gelooft 17% dat er grondige beoordelingen plaatsvinden.
Geen idee Grondig Ongeveer Bijna nooit Nooit
0%
10%
20%
30%
In welke mate is de cyber risico discussie van uw RvB / directie team onderbouwd met up-to-date management informatie? Weinig inzicht
66% denkt dat de cyber risico discussie gebaseerd is op enige management informatie en minder dan 10% denkt dat dit gebeurt op basis van robuuste management informatie. 16% geeft aan dat de cyber risico discussie binnen het MT “weinig inzichten” verkrijgt vanuit management informatie.
Enige informatie Uitvoerige, doorgaans informatieve management informatie Robuuste management informatie als drijfveer achter de besluiten Geen idee Niet van toepassing, gelieve uit te leggen Geen antwoord
0%
PwC
10% 20% 30% 40% 50% 60% 70%
12
Begrip van de dreigingen Ontvangt uw RvB / directie team regelmatig inlichtingen van de CIO/Hoofd IT-Beveiliging over wie uw Organisatie aanvalt, hun methoden en drijfverenmotivatie? Minder dan 30% van alle deelnemers geeft aan dat de RvB / het directie team regelmatig inlichtingen ontvangt met betrekking tot cyber aanvallen vanuit de CIO / het hoofd IT-beveiliging. Ruim 50% procent geeft aan dat dit (bijna) nooit gebeurt.
Nooit Bijna nooit Regelmatig Geen idee
Niet van toepassing. Graag toelichten Geen antwoord 0%
10%
20%
30%
40%
Zijn alle directieleden zich, naar uw mening, bewust van hun eigen persoonlijke cyber risico profiel (bijv. Hoe te voorkomen dat zij doelwit worden van een elektronische aanval)? Twee derde van de deelnemers geeft aan dat de directieleden zich nauwelijks bewust zijn van hun persoonlijke cyber risico. Nog eens 14% geeft aan dat de RvB een slecht begrip hiervan heeft.
Een slecht begrip Nauwelijks begrip Volledig begrip Niet van toepassing. Graag toelichten Geen antwoord 0%
PwC
20%
40%
60%
80%
13
Begrip van de dreigingen Wordt de technische staf aangemoedigd door de directie om officiële informatiedeling sessies te starten met organisaties in uw sector en/of de markt om te vergelijken met en leren van anderen en opkomende bedreigingen te identificeren? De helft van de deelnemers heeft aangegeven dat het technisch personeel wordt aangemoedigd om kennisdeling sessies te starten met andere organisaties om zodoende cyber security dreigingen tegen te gaan. Bijna een derde van de deelnemers denkt dat de technische staf hier niet toe wordt aangemoedigd.
Ja Nee Geen idee Niet van toepassing. Graag toelichten Geen antwoord 0%
PwC
10%
20%
30%
40%
50%
60%
14
Leiderschap Hoe regelmatig wordt uw strategisch risico register beoordeeld en bediscussieerd door de raad van bestuur (RvB) / het directie team? (Of, indien u geen formele registratie heeft, hoe vaak worden strategische risico's besproken door de RvB / het directie team?) Wij hebben geen strategisch risico registratie Geenszins / Wordt alleen gecorrespondeerd Wordt besproken in een jaarlijkse vergadering
66% van de deelnemers geeft aan het strategische risico minimaal eens per jaar te bespreken waarbij 28% dit op jaarbasis doet, 16% ieder half jaar en 22% op kwartaalbasis. Een kleine 10% van de deelnemers geeft aan geen strategisch risico register te hebben.
Wordt besproken in een halfjaarlijkse vergadering Wordt elk kwartaal besproken Wordt elke vergadering besproken Geen idee Niet van toepassing. Graag toelichten…. Geen antwoord
0%
10%
20%
30%
Verwacht u of uw organisatie dat het netto cyber risico toeneemt of afneemt in het komende jaar, in termen van kans op voorkomen? De ruime meerderheid van de organisaties verwacht dat het netto cyber risico toeneemt in het komende jaar. 16% van de deelnemers verwacht dat deze toename significant is.
Neemt significant toe Neemt toe Blijft hetzelfde Neemt af Neemt significant af Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
PwC
10%
20%
30%
40%
50%
60%
15
Leiderschap Hoe hoog is de impact van cyber risico's op uw organisatie?
Bijna alle deelnemers vinden dat cyber risico’s een belangrijke impact kunnen hebben op de organisatie, waarbij 35% aangeeft dat deze impact erg belangrijk kan zijn.
Niet belangrijk Enigszins belangrijk Erg belangrijk Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
10%
20%
30%
40%
50%
Denkt u dat alle medewerkers zich comfortabel voelen bij het rapporteren van aangetaste of verloren informatie of gegevens? De helft van de deelnemers heeft aangeven dat medewerkers zich (waarschijnlijk) niet comfortabel voelen bij het melden van aangetaste dan wel verloren informatie. Van de overige deelnemers gaf een groot deel aan wel te denken dat medewerkers zich hier comfortabel bij voelen.
Nee Ik denk van niet Ik denk van wel Ja Geen idee
Geen antwoord 0%
PwC
10%
20%
30%
40%
50%
16
Leiderschap Welke van de volgende beschrijvingen is het meest van toepassing op hoe er wordt omgegaan met cyber risico binnen het bestuurlijke proces van uw organisatie? Voor de meerderheid van de organisaties geldt dat cyber risico’s meer als gelegenheidsdan als standaardbezigheid van het bestuur wordt gezien. Slechts 14% van de deelnemers gaven aan dat het bestuur cyber risico profielen actief / regelmatig bespreekt.
Het is een technisch onderwerp, wat geen inspraak van de Directie behoeft. We hebben er wel eens over gehoord, maar het behoort niet tot onze kernactiviteiten. We luisteren af en toe – bijvoorbeeld tijdens een halfjaarlijkse update, en we worden ingelicht als er iets… We bespreken regelmatig cyber risico en we nemen besluiten (bijv. investeringsbeleid) Wij sturen actief op ons cyber risicoprofiel door het jaar heen Geen idee Niet van toepassing. Graag toelichten….. Geen antwoord
0%
5%
10% 15% 20% 25% 30% 35%
Als het aankomt op de algehele aanpak van de organisatie ten aanzien van cyber risico, hoe bezorgd bent u dan persoonlijk? Bijna 50% van de deelnemers geeft aan bezorgd te zijn met betrekking tot de aanpak van cyber risico. Minder dan 40% van de deelnemers geeft aan dat ze geen bijzondere zorgen hebben.
Erg bezorgd Bezorgd Geen bijzondere zorgen Rustig Erg rustig Geen idee Niet van toepassing. Graag toelichten Geen antwoord 0%
PwC
10%
20%
30%
40%
50%
17
Leiderschap Welk bedrijfsorgaan of persoon is bestuurlijk verantwoordelijk voor het inschatten en monitoren van de impact en de waarschijnlijkheid van cyber bedreigingen voor de Organisatie? De algemene directie Uitvoerend bestuur Audit Commissie Risicobestuur of -commissie IT- of Beveiligingscommissie CEO / Algemeen directeur CFO / Financieel directeur COO / Proces directeur Voorzitter van de RvB / het directie team Hoofd IT Hoofd Beveiliging Andere leidinggevende. Graag specificeren Geen enkel bedrijfsorgaan of persoon heeft deze verantwoordelijkheid Geen idee Niet van toepassing. Graag toelichten Geen antwoord 0%
5%
10%
15%
20%
25%
30%
Verantwoordelijkheid voor het monitoren en inschatten van cyber bedreigingen is belegd bij een diversiteit aan bedrijfsorganen/personen, met als meest voorkomend het hoofd IT, de CFO en de IT- of beveiligingscommissie. 7 procent van de deelnemers gaf aan dat niemand verantwoordelijk wordt gehouden voor deze taken.
PwC
18
Leiderschap Ongeacht uw antwoord op de vorige vraag, welk bedrijfsorgaan of persoon zou (bestuurlijke) verantwoordelijkheid moeten hebben, naar uw mening? De algemene directie Uitvoerend bestuur Audit Commissie Risicobestuur of -commissie IT- of Beveiligingscommissie CEO / Algemeen directeur CFO / Financieel directeur COO / Proces directeur Voorzitter van de RvB / het directie team Hoofd IT Hoofd Beveiliging Andere leidinggevende. Graag specificeren Geen enkel bedrijfsorgaan of persoon heeft deze verantwoordelijkheid Geen idee Niet van toepassing. Graag toelichten Geen antwoord 0%
5%
10%
15%
20%
25%
30%
In vergelijking met voorgaande vraag valt op dat deelnemers vinden dat het uitvoerende bestuur een grotere verantwoordelijkheid moet krijgen dan dat zij nu heeft.
PwC
19
Leiderschap Wie is de meest senior "risico eigenaar" in de organisatie met betrekking tot cyber vraagstukken?
Risico eigenaarschap is belegd bij verschillende senior rollen binnen de organisaties, met de CFO (29%) als meest voorkomend. De CEO (14%) en hoofd IT (25%) werden ook vaak aangewezen. Het is onduidelijk of de hiërarchische verschillen in allocatie (Hoofd IT versus CEO of CFO) een indicatie geeft van de waarde die aan de risico’s wordt gehecht.
CEO / Algemeen Directeur CFO / Financieel Directeur COO / Proces Directeur Voorzitter van de RvB / het directie team Hoofd IT Hoofd Beveiliging Andere leidinggevende. Graag… Die hebben wij niet Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
10%
20%
30%
Wie is de meest senior "risico manager" in de organisatie met betrekking tot cyber vraagstukken? Het hoofd IT is door 57% van alle deelnemers geselecteerd als meest senior cyber risico manager. Ook posities zoals CFO, hoofd beveiliging en de voorzitter van de RvB werden genoemd, echter geen enkele van deze posities ontving meer dan 11% van de stemmen.
CEO / Algemeen Directeur CFO / Financieel Directeur COO / Proces Directeur Voorzitter van de RvB / het directie team Hoofd IT Hoofd Beveiliging Andere leidinggevende. Graag… Die hebben wij niet Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
PwC
20%
40%
60%
20
Leiderschap Waar in de organisatie, in bestuurlijke zin, wordt de "risico eigenaar" met betrekking tot cyber vraagstukken verantwoordelijk gehouden? De cyber risico eigenaar legt over het algemeen verantwoordelijkheid af aan de directie, dit werd door 68% van de deelnemers bekrachtigd. Geen enkel ander antwoord werd door meer dan 10% van de deelnemers gegeven.
RvB / Directie team Uitvoerend bestuur Audit Commissie Risico Bestuur of Commissie IT- of Beveiligingscommissie Ander bestuur of commissie. Graag specificeren……. Er bestaat geen bestuurlijke… Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
10%
20%
30%
40%
50%
60%
70%
Heeft uw RvB / directie team de benodigde vaardigheden en kennis om innovatie en risico in de digitale omgeving te managen? Ook al antwoordde maar 7% “nauwelijks” op deze vraag waren de deelnemers verder zuinig in het beoordelen van de vaardigheden van de RvB / directie. Veelal (68%) gaf men aan dat de RvB / directie enigszins over de benodigde vaardigheden beschikt, 11% noteerde goede vaardigheden en niemand was zodanig zelfverzekerd dat zij aangaven “klaar te zijn voor het digitale tijdperk”.
Nauwelijks Enigszins Goede vaardigheden Wij zijn helemaal klaar voor het digitale tijdperk Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
PwC
10%
20%
30%
40%
50%
60%
70%
21
Leiderschap
Heeft u het gevoel dat de Organisatie genoeg doet om zichzelf te beschermen tegen cyber bedreigingen? Antwoorden met betrekking tot de algemene volwassenheid van organisaties om zich te kunnen beschermen tegen cyber bedreigingen zijn bijna volledig tegengesteld. Meer dan de helft van de deelnemers (69%) geeft aan dat er meer gedaan moet worden en de rest (31%) geeft aan met de goede dingen bezig te zijn.
Nee, de prestaties zijn onvoldoende Nee, er moet meer aan worden gedaan Ja, we zijn met goede dingen bezig Ja, onze standaarden zijn uitstekend Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
20%
40%
60%
80%
Nemen collega's uit het bestuur het cyber risico voldoende serieus? Helemaal niet serieus
46% van de deelnemers heeft aangegeven dat bestuur collega’s het cyber risico erg serieus nemen. Echter, ook 39% gaf aan dat het cyber risico niet serieus genoeg wordt genomen. Opvallend is dat 15% niet weet of het bestuur het cyber risico serieus neemt.
Niet serieus genoeg Erg serieus Te serieus Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
PwC
10%
20%
30%
40%
50%
22
Leiderschap
Heeft u persoonlijk een cyber beveiliging-/ informatiebeveiligingstraining gevolgd in de afgelopen 12 maanden? 85% van de deelnemers heeft geen cyber/informatie beveiligingstraining gevolgd in het afgelopen jaar. Ja Nee 0%
20%
40%
60%
80%
100%
Hebben andere bestuursleden een cyber beveiliging-/ informatiebeveiligingstraining gevolgd in de afgelopen 12 maanden? 96% van de deelnemers heeft aangegeven dat geen enkele collega cyber security training heeft gevolgd in het afgelopen jaar.
Ja Nee 0%
PwC
20%
40%
60%
80%
100%
23
Leiderschap
Hoeveel investeert de organisatie in cyber verdediging?
42% van de deelnemers gaf aan een redelijke hoeveelheid te besteden aan cyber verdediging. 23% gelooft dat er “te weinig” geïnvesteerd wordt. Van het resterende deel gaf de meerderheid aan “niet zoveel” te investeren in cyber verdediging.
Te veel
Een redelijke hoeveelheid (precies genoeg)
Niet zoveel (precies genoeg)
Te weinig
0%
10%
20%
30%
40%
50%
Wat is de budgetstrategie voor uw cyber verdediging?
Vermindering van 10% of meer ten opzichte van het…
54% van de deelnemers heeft een toenemend budget voor cyber verdediging. Voor 35% van de deelnemers blijft het budget gelijk. Tenslotte geeft 4% aan dat het budget voor cyber-verdediging beperkt (met minder dan 5%) zal dalen.
Vermindering van 5-10% ten opzichte van het vorige jaar Vermindering van 0-5% ten opzichte van het vorige jaar Hetzelfde budget als het voorgaande jaar Toename van 0-5% ten opzichte van het vorige jaar Toename van 5-10% ten opzichte van het vorige jaar Toename van 10% of meer ten opzichte van het vorige… Geen antwoord
0%
PwC
10%
20%
30%
40%
24
Risico management Hoe volwassen en ontwikkeld is uw formele risico management systeem (inclusief koppeling met strategie, rapportage vereisten en instrumenten)? Wij hebben geen formeel risico management…
De meerderheid van de deelnemers classificeert het risicomanagement systeem als (redelijk) volwassen waarbij 35% aangeeft een onvolwassen, erg nieuw of geen formeel risico management systeem te hebben.
Erg nieuw Onvolwassen Redelijk volwassen Volwassen Erg volwassen Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
10%
20%
30%
40%
Waar wordt het strategisch risico register nog meer beoordeeld of besproken?
In 31% van de zaken wordt het strategisch risico register in meerdere samenstellingen besproken. Daarnaast bespreekt 19% van de deelnemers het strategisch risico register in de IT- of Beveiligingscommissie en nog eens 19% bespreekt dit in de Auditcommissie.
Nergens Commissie op een lager niveau IT- of Beveiligingscommissie Risicobestuur of -commissie Audit Commissie Operationeel bestuur of Uitvoerende Commissie Op meer dan één plek Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
PwC
10%
20%
30%
40%
25
Risico management
Bevat het strategisch risico register een "cyber risico" categorie? Bijna 50% van de deelnemers gaf aan een cyber risico categorie in het strategisch risico register te hebben opgenomen (of opgenomen te hebben, echter op andere wijze geclassificeerd). 39% geeft aan cyber risico’s niet te hebben opgenomen in het strategische risico register.
Nee Ja Ja, maar is geclassificeerd als Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
10%
20%
30%
40%
Hoe goed zijn de cyber risico's beschreven in het strategisch risico register (i.e., begrijpelijk voor een breed bestuurlijk publiek), en de mogelijke consequenties voor de organisatie? Volgens een groot deel van de deelnemers (71%) is de kwaliteit van de cyber risico beschrijving van een basaal of lager niveau.
Niet goed Basaal Uitgebreid Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
PwC
10%
20%
30%
40%
50%
26
Risico management
Hoe belangrijk of significant is het cyber risico, vergeleken met alle andere strategische risico's waar de organisatie mee geconfronteerd wordt? In vergelijking met andere risico’s gaven deelnemers aan dat cyber risico’s worden geclassificeerd als gemiddeld (42%) of laag (39%) risico. Maar 10% gaf aan dat cyber risico’s als top risico’s worden beschouwd
Top / Groep Risico Medium / Segment Risico Laag / Operationeel Risico Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
10%
20%
30%
40%
50%
In welke mate richt uw RvB / directie team zich uitdrukkelijk op cyber risico, zowel ten aanzien van bestaande bedrijfsactiviteiten als voor nieuwe digitale innovaties? Bij de meeste organisaties richt de RvB / het directie team zich niet echt dan wel losjes op cyber risico (63%). 20% heeft het wel duidelijk omschreven en begrepen.
Niet echt Losjes Duidelijk omschreven en begrepen Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
PwC
10%
20%
30%
40%
50%
27
Risico management Begrijpt de RvB / het directie team wat de belangrijkste informatie of data is die wordt gedeeld met derden en op welke wijze deze data wordt gedeeld (inclusief toeleverancier, klanten, adviseurs en outsourcing partners)? 57% van de deelnemers denkt dat de RvB / directie een basaal of acceptabel begrip heeft van hoe en welke informatie wordt gedeeld met derde partijen. 18% van de deelnemers denkt dat de RvB hier een slecht dan wel nauwelijks acceptabel begrip van heeft.
Slecht begrip Nauwelijks acceptabel Basaal begrip / Acceptabel Een goed begrip Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
10%
20%
30%
40%
50%
60%
Heeft uw organisatie cyber risico's officieel aangekaart bij haar toeleveranciers (bijv.: duidelijke vereisten vastgesteld over hoe toeleveranciers omgaan met uw data)? Antwoorden op de vraag of cyber risico’s officieel worden aangekaart bij toeleveranciers zijn redelijk gedistribueerd. 46% denkt dat dit enigszins of niet echt gebeurd. 21% geeft aan dat dit officieel grondig wordt beoordeeld en weer 21% geeft aan dat dit een integraal onderdeel vormt van het inkoop management proces.
Niet echt Enigszins Wordt officieel grondig beoordeeld Vormt een integraal onderdeel van ons… Geen idee Niet van toepassing. Graag toelichten Geen antwoord
0%
PwC
10%
20%
30%
40%
28
DEEL 2
Additionele resultaten
PwC
29
Profiel van de respondent Welke van de volgende omschrijvingen past het beste bij u?
Bij 85% van de organisaties is deze enquête door een leidinggevend lid van de RvB / directie team ingevuld.
Leidinggevend lid van het Raad van Bestuur / directie team Lid raad van commissarissen / toezicht Geen antwoord
0%
20%
40%
60%
80%
100%
Welke sector classificering is het meest van toepassing op de belangrijkste activiteiten van uw organisatie?
De organisaties die deze enquête hebben ingevuld opereren in een grote variëteit aan sectoren. Dit toont aan dat cyber security een relevant thema is in verschillende sectoren.
Industriële en consumenten goederen en diensten Energie, Nutsbedrijven & Mijnbouw Financiële sector Gezondheidszorg Publieke sector - Lokaal Publieke sector - Nationaal Technologie, Media & Telecommunicatie Andere, graag specificeren Geen antwoord
0%
PwC
5%
10%
15%
20%
30
Profiel van de respondent Welk percentage van de inkomsten/verkopen van uw organisatie wordt behaald buiten Nederland? Een kwart van de deelnemers behaalt meer dan 80% van de omzet buiten Nederland. 18% genereert alle inkomsten in Nederland en nog eens 18% genereert meer dan 80% van de omzet in Nederland. Voor 21% van de deelnemers wordt vergelijkbare omzet in en buiten Nederland verdiend.
80-100% 60-79% 40-59% 20-39% 1-19% 0% Niet van toepassing
Geen antwoord 0%
5%
10%
15%
20%
25%
30%
Hoeveel werknemers heeft uw organisatie? (Inclusief fulltime en parttime) 0 – 500
58% van de resultaten komen vanuit organisaties met 1.000-20.000 werknemers. 21% van de antwoorden komt van kleinere organisaties (0-1.000 werknemers). 9% van de deelnemende organisaties heeft meer dan 50.000 werknemers
500 – 1.000 1.000 – 5.000 5.000 – 20.000
20.000 – 50.000 Meer dan 50.000 Geen antwoord 0%
PwC
5%
10%
15%
20%
25%
30%
35%
31
Profiel van de respondent
Hoeveel werknemers zijn gestationeerd buiten Nederland?
Bij 39% van de deelnemende organisaties zijn alle werknemers gestationeerd binnen Nederland. Bij 15% van de organisaties werkt meer dan 80% buiten Nederland.
80-100% 60-79% 40-59% 20-39% 1-19% 0% Geen antwoord 0%
PwC
10%
20%
30%
40%
32
Cyber incidenten Heeft de organisatie, voor zover u weet, last gehad van meer of minder verdachte cyber gebeurtenissen in het afgelopen jaar? Waar bijna een vijfde deel van de deelnemers niet wist hoe deze vraag te beantwoorden, gelooft 46% dat het aantal verdachte cyber gebeurtenissen in het afgelopen jaar stabiel is gebleven. 35 % denkt dat dit aantal is gestegen.
Toename: significant Toename: enigszins Stabiel / Geen verandering Afname: enigszins Afname: significant Geen idee Niet van toepassing. Graag toelichten 0%
10%
20%
30%
40%
50%
Hoe goed heeft de Organisatie, voor zover u weet, gereageerd op deze verdachte gebeurtenissen?
27% van de deelnemers zegt de organisatie redelijk goed reageert op verdachte cyber gebeurtenissen. 23% denkt gemiddeld en nog eens 19% denkt dat de organisatie hier uitstekend op heeft gereageerd.
Slecht / Onacceptabel Niet goed Redelijk / Gemiddeld Redelijk goed Erg goed / Uitstekend
19% van de deelnemers zegt geen idee te hebben hoe goed de organisatie reageert op verdachte cyber gebeurtenissen.
Geen idee Niet van toepassing. Graag toelichten
0%
PwC
10%
20%
30%
33
Cyber incidenten Waar, in bestuurlijke zin, werden deze verdachte gebeurtenissen besproken? RvB / Directie team Uitvoerend bestuur
35% van de deelnemers geeft aan dat de verdachte gebeurtenissen door de directie / RvB besproken worden. 19% gelooft dat dit door de IT- of beveiligingscommissie wordt gedaan, maar ook 19% geeft aan dat dit niet op bestuurlijk niveau wordt besproken.
Audit Commissie Risico Bestuur of Commissie IT- of Beveiligingscommissie Ander bestuur of commissie Deze werden niet besproken op een bestuurlijk niveau Geen idee Niet van toepassing. Graag toelichten
0%
5%
10%
15%
20%
25%
30%
35%
Is uw Organisatie in staat om de kwantitatieve en kwalitatieve impact van de verdachte cyber gebeurtenissen te bepalen? 39% van de deelnemers geeft aan dat de organisatie redelijk goed in staat is om de impact van cyber gebeurtenissen te bepalen. 19% meent dat de organisatie hier gemiddeld op scoort en 31% vindt dat men dit niet goed dan wel slecht bepaalt.
Slecht / Onacceptabel Niet goed Redelijk / Gemiddeld Redelijk goed Erg goed / Uitstekend Geen idee Niet van toepassing. Graag… 0%
PwC
10%
20%
30%
40%
34
Cyber incidenten Is uw Organisatie klaar om cyber inbraken (cyber breaches) te rapporteren richting de regelgevers en/of klanten? 69% van de organisaties is bezig om de rapportage competentie met betrekking tot cyber incidenten in te richten en/of te verbeteren.
Ja Nee
Daar zijn we mee bezig Geen idee 0%
20%
40%
60%
80%
100%
Is uw organisatie goed voorbereid om in de toekomst om te kunnen gaan met verdachte cyber gebeurtenissen?
27% van de organisaties geeft aan redelijk goed/erg goed op toekomstige cyber gebeurtenissen te zijn voorbereid. 39% denkt hier gemiddeld te scoren en 27% zegt hier niet goed op voorbereid te zijn.
Slecht / Onacceptabel Niet goed Redelijk / Gemiddeld Redelijk goed Erg goed / Uitstekend Geen idee Niet van toepassing. Graag toelichten
0%
PwC
10%
20%
30%
40%
35
Bewustzijn van hulp en ondersteuning Bent u zich bewust van standaarden, richtlijnen of certificaten die uw organisatie volgt of heeft met betrekking tot cyber security? 77% van de deelnemers is op de hoogte van de richtlijnen gevolgd door de organisatie op het gebied van cyber security.
Ja Nee Geen antwoord 0%
20%
40%
60%
80%
Weet u tot wie u zich moet richten voor goed geïnformeerd advies ten aanzien van cyber beveiliging?
Ja. Graag specificeren Nee Ik heb geen cyber beveiliging advies nodig 0%
PwC
20%
40%
60%
80%
12% van de deelnemers geeft aan niet te weten tot wie zich te moeten richten voor goed advies ten aanzien van cyber beveiliging. 73% van de deelnemers weet wel waar dit te vinden, namelijk: • Specialisten • Hoofd IT • Externe advies partijen • Peers, etc.
36
Voltooiing van de vragenlijst
Om in staat te zijn deze resultaten te optimaliseren, vragen wij u deze vragenlijst niet namens u te laten invullen door de CIO/IT directeur of anderen. Echter, mocht u dit toch gedaan hebben, zou u dan kunnen aangeven wie u heeft geholpen met het invullen van deze vragenlijst?
Niemand CEO / Algemeen Directeur CFO / Financieel Directeur COO / Proces Directeur CIO / IT Directeur Chief Risk Officer / Risico directeur Een combinatie van het bovenstaande Anders, te weten 0%
PwC
10%
20%
30%
40%
39% van de geadresseerden heeft de enquête zelf ingevuld. Dit is ook vaak uitbesteed aan de CIO / IT directeur. Anderen aan wie deze enquête is uitbesteed zijn: • Information security officer • CISO • Chief audit executive • Controller • Compliance Officer
Bijlagen
PwC
38
Bijlage A – Overzicht van sector classificatie
Industriële en consumenten goederen en diensten
· Luchtvaart en defensie · Auto industrie · Chemische industrie · Bouw materialen · Elektrische apparatuur · Voedingsmiddelen · Reizen en vrije tijd · Ingenieursbureaus · Industrie algemeen · Transport industrie · Retailers · Ondersteunende diensten · Tabak
PwC
Energie, voorzieningen & Mijnbouw · Basis grondstoffen · Mijnbouw · Olie en gas · Voorzieningen
Technologie, media & telecommunicatie · Media · Tech hardware · Tech software & diensten · Telecommunicatie · IT diensten
Financiële instellingen · Banken · Algemene fin. instellingen · Verzekeraars · Vastgoed
Gezondheidszorg
Publieke sector · Landelijke overheid · Provinciale overheid · Gemeentelijke overheid · Publieke sector - overig
· Gezondheidszorg apparatuur · Gezondheidszorg diensten · Farmaceutische industrie · Biotechnologie · Opleiding en huisvesting
39
Onze diensten
Bijlage B – PwC en cyber beveiliging
Wij bieden een helder overzicht aan geïntegreerde cyber security diensten die u helpen met het beoordelen (Assess), bouwen (Build) en managen (Manage) van uw cyber security competenties en met het reageren (Respond) op incidenten en crises. Onze diensten zijn ontworpen om u te helpen met het ontwikkelen van vertrouwen, het ontwikkelen van begrip van bedreigingen en kwetsbaarheden en het beveiligen van uw omgeving. Ons cyber security team heeft specialismen op juridisch, risico, technologie en transformatiegebied. Assess
Build
Manage
Respond
Understanding your capabilities and maturity to help you prioritise your investment
Assess
Build
Manage
Respond
• Breach discovery assessment
• Standards compliance and certification
Designing and delivering cyber security improvement programmes Embedding security Framework development • Awareness and training • Enterprise risk management
• Cyber security diagnostic
• Strategy and roadmap
• Enterprise security architecture
• Contracting for security
• Cyber threat assessments and modelling
• Third party assurance, including cloud
• Information governance
• CERT and policy development
• Penetration testing
• Threat intelligence, detection and response maturity assessment
• Privacy and cyber security legal strategy
• Cyber security programme assurance
Capability build
• Insider threat management
• Cyber security programme delivery
• Legal policy development
• Security technologies and SOC development
• Product development support
• Board-led maturity assessment
• Policy and contract review
• Privacy and cyber security legal assessment
• Security intelligence and analytics
• Threat intelligence, detection and response capability development
Assess
Build
Manage
Respond
Rapid, global access to leading cyber incident containment, investigation and crisis management expertise • Breach notification • Fraud and eCrime data analytics • Computer, network and malware forensics
• Human resource advice – employee breaches
• Crisis management
• Network intrusion containment and remediation
• Cyber incident legal advice including privilege • Cyber incident response and forensic investigation
• Regulatory proceedings • Third party litigation
Assess
Build
Manage
Respond
Managing and maintaining control of your business, enabling you to focus on strategic priorities • Advanced threat detection and • Managed vulnerability as monitoring assessment • Cyber defence team augmentation
• Retained incident response services
• Data leakage monitoring
• Threat intelligence
• Integrated managed security services
• Training
• Legal support to compliance officers and general counsel
• e-Discovery and disclosure
PwC
40
Contact Gegevens Gerwin Naber
Erwin de Horde
Partner Forensic Services +31 (0)88 792 63 02
Partner Risk Assurance +31 (0) 88 792 51 85
[email protected]
[email protected]
Otto Vermeulen Partner Consulting Technology +31 (0) 88 792 63 74
[email protected]
© 2014 PwC. All rights reserved. Not for further distribution without the permission of PwC. "PwC" refers to the network of member firms of PricewaterhouseCoopers International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each member firm is a separate legal entity and does not act as agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm's professional judgment or bind another member firm or PwCIL in any way.
PwC
41
