46 procent van de Nederlandse respondenten beschouwt menselijke fouten als grootste cyberkwetsbaarheid
19 mei 2021 -
Proofpoint publiceert zijn allereerste Voice of the CISO-rapport. In dit rapport worden de belangrijkste uitdagingen belicht waarmee Chief Information Security Officers (CISO's) in de afgelopen twaalf maanden te maken hebben gekregen. 66 procent van de CISO's wereldwijd vindt dat hun organisatie niet voldoende is voorbereid op een cyberaanval.
Daarnaast beschouwt 58 procent menselijke fouten als de grootste cyberkwetsbaarheid. Dit bewijst dat het door de pandemie noodzakelijk geworden thuiswerkmodel CISO's meer dan ooit op de proef heeft gesteld.
In het Voice of the CISO-rapport van dit jaar zijn de antwoorden geanalyseerd van meer dan 1.400 CISO's van middelgrote tot grote organisaties uit diverse branches. In het eerste kwartaal van 2021 werden honderd CISO's geïnterviewd in Nederland, de VS, Canada, het VK, Frankrijk, Duitsland, Italië, Spanje, Zweden, de VAE, Saoedi-Arabië, Australië, Japan en Singapore.
In het onderzoek worden drie belangrijke aspecten onderzocht. Ten eerste het dreigingsrisico en de cyberaanvallen waar CISO's dagelijks mee te maken hebben. Ten tweede de mate waarin werknemers en organisaties voorbereid zijn om cyberaanvallen het hoofd te bieden. Tot slot de impact van het hybride personeelsbestand op bedrijven, nu zij zich voorbereiden op de heropening van hun kantoren. Ook wordt ingegaan op de uitdagingen waarmee CISO's worden geconfronteerd in hun rol, hun positie binnen de C-suite en de verwachtingen van hun teams.
Beveiligingsbeleid
"Vorig jaar werden cybersecurity-teams over de hele wereld, letterlijk van de ene op de andere dag, uitgedaagd om hun beveiligingsbeleid aan te passen aan een volledig nieuwe situatie. Hierbij moest een balans worden gevonden tussen enerzijds het ondersteunen van werken op afstand en anderzijds bedrijfsonderbreking voorkomen, en tegelijkertijd die omgevingen beveiligen," merkt Lucia Milica, Global Resident CISO bij Proofpoint, op. "Nu het nieuwe werken steeds flexibeler wordt, geldt deze uitdaging ook voor volgend jaar en de jaren daarna. Er wordt van CISO's verwacht dat ze niet alleen veel meer aanvalspunten beveiligen, maar ook dat ze gebruikers voorlichten over werken op afstand of hybride werken op de lange termijn. Daarnaast moeten CISO's klanten, interne stakeholders en de branche het vertrouwen geven dat dergelijke situaties voor onbepaalde tijd werkzaam blijven."
Belangrijke bevindingen
Het Voice of the CISO 2021-rapport van Proofpoint belicht zowel algemene trends als regionale verschillen onder de wereldwijde CISO-gemeenschap. Belangrijke bevindingen in Nederland zijn onder meer:
CISO's zijn op hun hoede voor uiteenlopende bedreigingen. 56 procent van de ondervraagde Nederlandse CISO's denkt dat zijn of haar organisatie de komende twaalf maanden risico loopt op een cyberaanval met een directe impact op de bedrijfsvoering. Gevraagd naar de soorten aanvallen die de CISO’s verwachten, kwamen supply chain-aanvallen met 34 procent op de eerste plaats. Daarna volgden Business Email Compromise (29 procent) en Cloud Account Compromise (Office 365- of Google-accounts die worden gecompromitteerd, 28 procent). Hoewel ransomware de laatste tijd de krantenkoppen domineert, staat het op de zevende plaats met 23 procent. Insider threats sluiten de lijst af met 19 procent.
De cyberparaatheid van organisaties is nog steeds zorgwekkend. Meer dan een jaar nadat de pandemie het bedreigingslandschap voorgoed heeft veranderd, is 81 procent van de Nederlandse CISO's van mening dat zijn of haar organisatie niet is voorbereid op een gerichte cyberaanval in 2021 - het hoogste percentage van alle landen. Het cyberrisico neemt ook toe: 46 procent van de CISO's maakt zich meer zorgen over de gevolgen van een cyberaanval in 2021 dan in 2020.
Bewustwording van gebruikers leidt niet altijd tot gedragsverandering. 55 procent van de respondenten in het onderzoek denkt dat werknemers hun rol begrijpen in het beschermen van hun organisatie tegen cyberdreigingen. Toch beschouwt 46 procent van de Nederlandse CISO's menselijke fouten nog steeds als de grootste cyberkwetsbaarheid van hun organisatie. Nederlandse CISO's noemden het klikken op een schadelijke link of het downloaden van een gecompromitteerd bestand, het opzettelijk lekken van data en het gebruik van ongeautoriseerde apparaten, tools en applicaties, als de voornaamste manieren waarop werknemers hun bedrijf in gevaar brengen.
Langdurige hybride werkomgevingen vormen een nieuwe uitdaging voor CISO's. 46 procent van de Nederlandse CISO's is het ermee eens dat werken op afstand zijn of haar organisatie kwetsbaarder heeft gemaakt voor gerichte cyberaanvallen. 53 procent zegt een toename van gerichte aanvallen te hebben gezien in de afgelopen twaalf maanden.
Aanvallen met een hoog risico en een hoog rendement zullen de komende twee jaar waarschijnlijk veel voorkomen. 53 procent van de Nederlandse CISO's denkt dat cybercriminaliteit nog winstgevender zal worden voor aanvallers, terwijl 54 procent denkt dat het risicovoller zal worden voor cybercriminelen.
CISO's zullen hun cybersecurity-strategie aanpassen om de voorsprong te behouden. Over het algemeen verwacht de meerderheid van de CISO's wereldwijd dat hun budget voor cybersecurity de komende twee jaar met elf procent of meer zal toenemen. Daarnaast denkt 62 procent van de Nederlandse CISO's dat ze in 2023 beter bestand zullen zijn tegen cyberaanvallen en dat ze daar sneller van zullen herstellen. De top drie prioriteiten voor Nederlandse CISO's in de komende twee jaar zijn: het verbeteren van de belangrijkste security-controles (36 procent), het aanpakken van leveranciersrisico's (34 procent) en het verhogen van het cybersecurity-bewustzijn van werknemers (32 procent).
In 2020 is de rol van de CISO belangrijker geworden en zijn de verwachtingen vanuit de business hoger geworden. 45 procent van de Nederlandse CISO's is het ermee eens dat de verwachtingen ten aanzien van hun functie buitensporig zijn. Gebrekkige steun vanuit de directiekamer blijft een probleem: slechts 21 procent van de Nederlandse CISO's is het eens met de opvatting dat de directie het met hem of haar eens is over cybersecurity-vraagstukken.
"De ‘goed genoeg’-aanpak van de afgelopen twaalf maanden zal op de lange termijn simpelweg niet werken. Het is onwaarschijnlijk dat bedrijven ooit terugkeren naar de manier van werken van voor de pandemie. Daarom is het advies om de cyberverdediging te versterken nog nooit zo dringend geweest," zegt Ryan Kalember, Executive Vice President of Cybersecurity Strategy bij Proofpoint. "CISO's bekleden een bedrijfskritische functie, nu meer dan ooit. De bevindingen uit ons rapport benadrukken dat CISO's de juiste tools nodig hebben om risico's te beperken. Maar ook om een strategie te ontwikkelen waarbij een mensgerichte aanpak van cybersecurity centraal staat. Hierbij moet de nadruk liggen op bewustwordingstraining om tegemoet te komen aan de steeds veranderende omstandigheden, zoals organisaties tijdens de pandemie hebben ervaren."