Strategische informatie slecht beschermd

Is strategische informatie voldoende beschermd? Loopt het bedrijf risico op lekken? En staat dat risico wel op de bestuursagenda? Nee, is het antwoord van KPMG. Nederlandse ondernemingen blijken onvoldoende maatregelen te nemen.

In het KPMG-onderzoek The importance of information assets geven meer dan 40 CIO’s hun mening over information risk management. Wat blijkt? Het ontbreken van maatregelen wordt met name ingegeven door een gebrek aan aandacht van de leiding. Het bestuur zou een rol moeten opeisen bij de bescherming van strategische informatie.

Maatregelen lopen uit de pas

Informatie over productieprocessen, nieuwe technologieën, intellectuele eigendommen en mogelijke overnames. Ruim 80 procent van de ondervraagde organisaties zegt dat hun strategische informatie essentieel is voor het voortbestaan en succes van de organisatie.

Toch zegt maar liefst 75 procent dat de maatregelen die genomen worden om de informatie veilig te beheren, volledig uit de pas lopen met de risico’s. En ondanks het feit dat de bedrijven dit weten, slagen ze er tot op de dag van vandaag niet in om de beveiliging op het vereiste niveau te krijgen.

Opvallend genoeg blijken kleine bedrijven hun waardevolle informatie beter te beschermen dan grotere ondernemingen. Ruim 40 procent van de kleine bedrijven zegt dat het niveau van bescherming voldoende is. Van de middelgrote bedrijven geeft bijna 20 procent aan dat de genomen maatregelen volstaan. Maar van de grote ondernemingen is dit slechts zes procent.

Niemand is eigenaar

Hoe het komt dat bedrijven hun risico’s niet kunnen beheersen? Onduidelijke ‘ownership’. De verantwoordelijkheid voor risicobeheer is bij veel bedrijven versnipperd belegd. Zowel de CFO, CIO, CRO als CISO bemoeit zich met de bescherming van de waardevolle kennis. En er is geen eenduidige wijze van rapporteren over de maatregelen die genomen worden. In feite is niemand ‘eigenaar’.

Vandaar dat sommige bedrijven overwegen om de verantwoordelijkheid van risicobeheer hoger in de organisatie neer te leggen. Zo geeft een op de vier bedrijven aan de Chief Risk Officer verantwoordelijk te willen maken. 23 procent kiest voor de Chief Information Officer.

Effectiviteit wordt niet gemeten

Het rapporteren van de risico’s blijkt ruim 30 procent van de functionarissen aan de Raad van Commissarissen te doen. 40 procent doet dat aan de audit commissie. Bijna 60 procent voorziet de Raad van Bestuur van de noodzakelijke informatie. Een duidelijk bewijs dat bescherming van de strategische informatie beter georganiseerd moet worden.

Uit het KMPG-onderzoek blijkt bovendien dat de effectiviteit van het risicobeheer nauwelijks actief gemeten wordt. Daarnaast hebben bedrijven een beperkt beeld van de kosten die zij maken. Slechts 34 procent van hen zegt een duidelijk inzicht te hebben.

Het KMPG-rapport The importance of information assets kan hier worden gedownload.