Op dinsdag 10 november 2020 vond de CIS-dag voor de eerste maal virtueel plaats. Naar goede gewoonte hebben we terug een polling afgenomen bij de respondenten met een live broadcast van de conclusies. Hieronder sommen we een aantal conclusies op die vooral op personeelsniveau (operationeel) getrokken kunnen worden. In een vorige post hadden we het over de beleidsmatige conclusies.
Monitoring cyberdreigingen
Bij de vraag of organisaties cyberbedreigingen kunnen detecteren, zijn de meningen verdeeld. Iets minder dan de helft geeft aan dat dit lukt (40%), terwijl dit voor 28% niet het geval is. De andere besturen (32%) zijn hiervan niet op de hoogte. De respondenten geven aan dat een meerderheid van de medewerkers in hun organisatie over het algemeen op de hoogte is van het belang van cybersecurity (65%).
Awarenessacties cybersecurity
Zo goed als alle organisaties voerden afgelopen jaar awarenessprogramma’s uit om het bewustzijn rond cybercrime te verhogen. Het effect van deze awareness programma’s werd daarentegen slechts in één vierde van de organisaties gemeten. Gaan de organisaties daarna ook aan de slag met die effecten? 55% geeft aan dat ze de resultaten van zulke awarenessprogramma’s niet doorgeven aan relevante partijen, waaronder de directie of het management. Ook aan de opvolging van de effecten wordt nauwelijks aandacht besteed. Slechts 11% van de organisaties geeft aan dat wel te doen.
Behandeling van cyberincidenten
Geen enkele organisatie geeft aan dat er trainingen of testen plaatsvinden om cyberincidenten af te handelen. Er wordt met andere woorden niet geoefend op wat men moet doen wanneer er sprake zou zijn van cybercriminaliteit. Spreken medewerkers elkaar aan op onveilig gedrag? Op die vraag antwoordde de helft met ja, de andere helft geeft aan dat dit niet gebeurt. Twee derde van de respondenten maakt wel duidelijk dat medewerker die regels rond cyberbeveiliging breken, daarop worden aangesproken.
Twee derde van de organisaties die te maken kreeg met cybercriminaliteit deed hiervan geen aangifte bij de politie, 20% deed dit wel en de overige organisaties zijn hiervan niet op de hoogte. CERT (federale computer emergency response team) wordt door lokale besturen wel gebruikt om aangifte te doen.
Proactief omgaan met cybersecurity
Slechts de helft van de organisaties geeft aan dat medewerkers in hun organisatie weten hoe ze cybercriminaliteit op het werk kunnen voorkomen. Op de vraag of medewerkers goed voorbereid zijn op een cyberaanval zijn de antwoorden zeer verspreid. Eén vijfde is ervan overtuigd dat hun medewerkers wel voorbereid zijn, de helft van de respondenten heeft er geen mening over. In de overige organisaties zijn medewerkers (helemaal) niet goed voorbereid. Uit de poll blijkt ook duidelijk dat in het overgrote deel van de organisaties de medewerkers de neiging hebben om het risico op cybercriminaliteit te onderschatten. Toch geeft 65% aan dat medewerkers vaardig zijn in het herkennen en opsporen van cybercriminaliteit, waaronder phishing, CEO-fraude of social engineering.
Ongeveer twee derde geeft ook aan de medewerkers binnen de organisatie op de hoogte zijn van hoe ze moeten handelen wanneer cybercriminaliteit zich zou voordoen. Maar vinden medewerkers de bestrijding van cybercriminaliteit ook belangrijk? Toch wel, 80% geeft aan dat medewerkers hieraan belang hechten.