De leiding van Nederlandse ondernemingen heeft te weinig aandacht voor de bescherming van alle strategische informatie waarover zij beschikken. De maatregelen die zij nemen om te voorkomen dat de informatie in verkeerde handen terecht komt, staat in geen verhouding tot de risico’s die zij lopen. Dat blijkt uit onderzoek van KPMG.
Uit het onderzoek ‘The importance of information assets’ van KPMG onder C-level functionarissen die zich met risicobeheer bezig houden, blijkt dat de maatregelen die Nederlandse bedrijven nemen om te voorkomen dat strategische informatie verkeerd terecht komt in geen verhouding staat tot de risico’s die zij lopen. John Hermans, partner bij KPMG IT Advisory:’Zo’n vijfenzeventig procent van de onderzochte ondernemingen geeft aan dat de maatregelen die genomen worden om de informatie veilig te beheren volledig uit de pas lopen met de risico’s. En ondanks het feit dat de bedrijven zich bewust zijn van het feit dat de bescherming niet toereikend is, slagen zij er tot op de dag van vandaag niet in de risico’s beter te beheersen en de beveiliging op het vereiste niveau te krijgen. Toch geeft ruim tachtig procent van de bedrijven aan dat de informatie waarover zij beschikken essentieel is voor het voortbestaan en het succes van de organisatie.’
Verantwoordelijke risicobeheer
Hermans constateert dat bij veel bedrijven niet duidelijk is wie verantwoordelijk is voor het risicobeheer. Ook ontbreekt een eenduidige wijze van rapporteren over de maatregelen die zijn genomen om het bezit van de bedrijven veilig te stellen. Hermans: ‘De verantwoordelijkheid voor het risicobeheer is bij veel bedrijven versnipperd belegd en dat betekent dat zowel de CFO, CIO, CRO en CISO zich met de bescherming van deze waardevolle kennis bezighouden. De huidige versnippering van de verantwoordelijkheid voor het risicobeheer duidt erop dat niemand zich daadwerkelijk eigenaar voelt.’
Een kwart van de bedrijven geeft aan dat zij de Chief Risk Officer verantwoordelijk zullen maken voor het risicobeheer. Iets minder dan een kwart kiest voor de Chief Information Officer. Ruim dertig procent van de onderzochte functionarissen rapporteert aan de Raad van Commissarissen. Bijna veertig procent doet dat aan de audit commissie. Bijna zestig procent voorziet de Raad van Bestuur van de noodzakelijke informatie. Volgens Hermans een duidelijk bewijs dat de bescherming van strategische informatie beter moet worden georganiseerd. Uit het onderzoek van KPMG blijkt bovendien dat de onderzochte bedrijven de effectiviteit van het risicobeheer nauwelijks actief meten en een beperkt beeld hebben van de kosten die zij maken.
Kleine bedrijven beter beschermt
Kleine bedrijven blijken hun bezit beter te beschermen dan grotere ondernemingen. ‘Ruim veertig procent van de kleine bedrijven stelt dat het niveau van bescherming voldoende is. Van de middelgrote bedrijven geeft bijna twintig procent aan dat de genomen maatregelen om hun bezittingen te beschermen volstaan. Van de grote bedrijven is dit slechtszes procent. Een verklaring hiervoor is wellicht dat kleine bedrijven beter beschermd zijn, omdat zij opereren in een minder complexe IT-omgeving. Maar het kan ook zijn dat zij zich vanwege hun omvang onterecht veiliger voelen’, aldus Hermans.
Geef een antwoord