Veel Europese organisaties hebben blinde vlek voor 'insider risk'
Europese organisaties onderschatten structureel interne veiligheidsrisico's, terwijl geopolitieke spanningen een serieuze en toenemende interne bedreiging vormen. Bestuur en toezicht zijn daar bij de meeste organisaties nog onvoldoende op ingericht.
Dat blijkt uit onderzoek van veiligheidsadviesbureau Signpost Six. Geopolitieke spanningen dringen zich in de afgelopen jaren steeds meer op binnen organisaties. Dat kan grote gevolgen hebben voor de interne veiligheidsrisico's.
Volgens het adviesbureau heeft liefst 84 procent van de organisaties met een hoog risicoprofiel onvoldoende vertrouwen in de eigen capaciteit om zogenoemde 'insider-incidenten' en 'insider risk' tijdig te detecteren en effectief op te volgen.
Insider risk
Insider risk is het risico dat personen die verbonden zijn aan een organisatie, zoals medewerkers, ingehuurde krachten of leveranciers, hun geautoriseerde toegang tot systemen en gevoelige informatie bewust of onbewust misbruiken.
Insider risk is verschoven van incidentele zorg naar structurele kwetsbaarheid, gevormd door economische, technologische en geopolitieke druk, stelt Signpost Six. Desondanks zijn veel organisaties nog terughoudend met investeringen in het bestrijden van dit soort risico's. "Veel organisaties blijven insider risk behandelen als niet-essentieel en geven prioriteit aan kortetermijnprestaties", aldus de onderzoekers.
De 'hybride oorlogsvoering', die onder meer bestaat uit cyberaanvallen, het verspreiden van desinformatie, economische druk en bedrijfssabotage, is een van de grootste aanjagers van insider risk. Commerciële organisaties bevinden zich, vaak zonder dat ze het zelf doorhebben, steeds vaker midden in een speelveld van geopolitieke conflicten. Zij zijn daardoor in toenemende mate zelf vaak onverwacht onderdeel van een conflict, stelt het onderzoek.
Overzicht afgenomen
De dreiging speelt zich niet alleen af via eigen medewerkers, maar ook via externe partijen. Door globalisering van ketens is het overzicht op toegangsrechten en verantwoordelijkheden ook nog eens flink afgenomen.
Signpost Six constateert dan ook dat "insider risk niet langer beperkt blijft tot de organisatie zelf, maar is ingebed in het volledige operationele ecosysteem". Leveranciers, ingehuurde specialisten en IT-dienstverleners beschikken vaak over vergaande toegang, zonder dat governance en toezicht daarop zijn ingericht.
Het rapport benadrukt dat de risico's niet alleen maar technisch van aard zijn. Verantwoordelijkheid wordt vaak versnipperd over security, HR en risicomanagement, waardoor signalen niet samenkomen. "Zonder strategisch eigenaarschap op bestuursniveau blijven insider-risicoprogramma’s reactief en gefragmenteerd."
Het rapport pleit daarom voor een integraal kader, dat verschillende afdelingen binnen bedrijven samenbrengt om de risico’s aan te pakken. "Organisatorische weerbaarheid vraagt om expliciet risico-eigenaarschap op bestuurlijk niveau en intensieve samenwerking tussen HR-, security-, risicomanagement- en legal afdelingen."