Helft CISO's wereldwijd voelt zich niet voorbereid op een cyberaanval
56 procent van de Nederlandse CISO's beschouwt menselijke fouten als de grootste cyberkwetsbaarheid van hun organisatie
20 mei 2022 -
Proofpoint publiceert zijn jaarlijkse Voice of the CISO-rapport, waarin de belangrijkste uitdagingen voor chief information security officers (CISO's) worden onderzocht. In 2021 hebben CISO's wereldwijd een nieuwe manier van werken leren kennen, maar velen voelen zich inmiddels vertrouwd in deze nieuwe omgeving.
In Nederland denkt slechts 28 procent van de CISO's dat ze het komende jaar het risico lopen op een cyberaanval, tegen 56 procent in 2021. Het wereldwijde gemiddelde lag dit jaar op 48 procent.
Voorbereid voelen versus voorbereid zijn
Je voorbereid voelen voor een cyberaanval is heel wat anders dan voorbereid zijn. Dit groeiende vertrouwen onder CISO's is eerder het resultaat van het succesvol overwinnen van de pandemie dan een duidelijke verandering in de voorbereiding op het risiconiveau. Uit het rapport blijkt dat 50 procent van de CISO's wereldwijd nog steeds van mening is dat hun organisatie niet voorbereid is op een cyberaanval en dat 56 procent menselijke fouten als hun grootste cyberkwetsbaarheid beschouwt. Daarbij brengt het flexibele thuiswerkmodel en de veranderingen in het personeelsbestand nieuwe uitdagingen met zich mee op het gebied van informatiebeveiliging.
In het Voice of the CISO-rapport van dit jaar zijn de antwoorden geanalyseerd van meer dan 1.400 CISO's van middelgrote tot grote organisaties uit diverse branches. In het eerste kwartaal van 2022 werden honderd CISO's geïnterviewd in Nederland, de VS, Canada, het VK, Frankrijk, Duitsland, Italië, Spanje, Zweden, de VAE, Saoedi-Arabië, Australië, Japan en Singapore.
Drie onderrzochte aspecten
In het onderzoek worden drie belangrijke aspecten onderzocht. Ten eerste het dreigingsrisico en de cyberaanvallen waar CISO's dagelijks mee te maken hebben. Ten tweede de mate waarin medewerkers en de organisatie voorbereid zijn om cyberaanvallen het hoofd te bieden. Tot slot de impact van het hybride personeelsbestand op bedrijven, nu zij zich voorbereiden op de heropening van hun kantoren. Ook wordt ingegaan op de uitdagingen waarmee CISO's worden geconfronteerd in hun rol, hun positie binnen de C-suite en de verwachtingen van hun teams.
"Terwijl cyberaanvallen de supply chain ontwrichtten, de voorpagina's haalden en nieuwe cyberwetgeving uitlokte, bleek 2021 opnieuw een uitdagende tijd te zijn voor CISO's wereldwijd. Maar nu CISO's zich aanpassen aan de nieuwe manieren van werken, is het bemoedigend om te zien dat er meer vertrouwen lijkt te zijn in hun beveiligingsbeleid," merkt Andrew Rose, Resident CISO, EMEA bij Proofpoint, op. "Terwijl de impact van de pandemie op beveiligingsteams geleidelijk afneemt, brengt ons 2022-rapport een dringend probleem naar voren. Nu werknemers hun baan opzeggen of besluiten niet terug te keren naar de arbeidsmarkt, moeten beveiligingsteams een groot aantal kwetsbaarheden voor informatiebescherming en insiderbedreigingen beheren."
Trends en verschillen
Het Voice of the CISO 2021-rapport van Proofpoint belicht zowel algemene trends als regionale verschillen onder de wereldwijde CISO-gemeenschap. Belangrijke bevindingen in Nederland zijn onder meer:
Nederlandse CISO's hebben het meeste vertrouwen in hun positie op het gebied van cybersecurity in vergelijking met hun sectorgenoten: terwijl CISO's wereldwijd meer grip lijken te hebben op hun omgeving, zijn Nederlandse CISO's het meest optimistisch: slechts 28 procent voelt zich bedreigd door een cyberaanval in de komende 12 maanden, vergeleken met 56 procent vorig jaar. Het wereldwijde gemiddelde was 48 procent.
Nederlandse CISO's zijn het niet eens over de belangrijkste bedreigingen voor hun organisatie: dit jaar stonden ransomware-aanvallen met 35 procent bovenaan de lijst, maar werden op de voet gevolgd door bedreigingen van binnenuit – 30 procent door nalatigheid, een vergissing of misdrijf - 27 procent door aanvallen op de supply chain en 22 procent Business Email Compromise.
De cybervoorbereidheid van organisaties is sterk verbeterd: de toenemende bekendheid met de post-pandemische werkomgeving heeft er ook toe geleid dat CISO's zich beter uitgerust voelen om met cyberdreigingen om te gaan. Terwijl 81 procent van de Nederlandse CISO's meende in 2021 niet voorbereid te zijn op een gerichte aanval, is dat dit jaar gedaald tot 53 procent.
Het beveiligingsbewustzijn van werknemers neemt toe, maar gebruikers zijn nog steeds niet voldoende opgeleid voor de rol van cyberverdediger: terwijl 54 procent van de Nederlandse respondenten van het onderzoek denkt dat werknemers hun rol begrijpen bij het beschermen van hun organisatie tegen cyberdreigingen, beschouwt 56 procent van de Nederlandse CISO's menselijke fouten nog steeds als de grootste cyberkwetsbaarheid van hun organisatie. In het afgelopen jaar heeft 52 procent van de ondervraagde Nederlandse CISO's de frequentie van cybersecurity-trainingen voor werknemers verhoogd.
Langdurig hybride werk maakt het beschermen van gegevens tot een nieuwe uitdaging voor CISO's: nu werknemers de defensieve perimeter vormen waar ze ook werken, is 49 procent van de Nederlandse CISO's het ermee eens dat ze in de afgelopen twaalf maanden een toename van gerichte aanvallen hebben gezien. En 39 procent zegt dat de toename van het aantal overstappende werknemers betekent dat het beschermen van gegevens een grotere uitdaging is geworden. Op de vraag hoe werknemers het meest waarschijnlijk een datalek veroorzaken, noemden de Nederlandse CISO's gecompromitteerde aanvallen door insiders. Werknemers geven hierbij onbedoeld hun inloggegevens vrij, waardoor cybercriminelen toegang krijgen tot gevoelige gegevens.
Het nieuws over ransomware heeft het bewustzijn van cyberrisico's bij de C-Suite sterk vergroot en strategische verschuivingen in de hand gewerkt: recente aanvallen hebben ransomware bovenaan de agenda van organisaties geplaatst, waarbij 65 procent van de Nederlandse CISO's heeft laten weten een cyberverzekering te hebben afgesloten en 52 procent zich richt op preventie in plaats van detectie- en responsstrategieën. Ondanks de stijgende inzet geeft 43 procent van de Nederlandse CISO's toe dat ze geen beleid hebben voor het betalen van losgeld.
Nederlandse CISO's blijven het gevoel hebben dat ze onder druk staan, omdat de buy-in van het bestuur onzeker blijft en cyberrisico's bedrijfsleiders verontrusten: 49 procent van de CISO's vindt dat de verwachtingen ten aanzien van hun rol buitensporig hoog zijn, tegenover 45 procent vorig jaar. Daarentegen is het gebrek aan overeenstemming met de bestuursraad toegenomen: slechts 55 procent van de Nederlandse CISO's is het ermee eens dat de bestuursraad achter hen staat als het gaat om cyberveiligheidskwesties. Bij de beoordeling van cyberrisico's noemden Nederlandse CISO's reputatieschade, verstoring van de bedrijfsactiviteiten en verlies van huidige klanten als belangrijkste punten van zorg voor de directie.
"Na twee jaar te hebben besteed aan het versterken van hun verdediging om hybride werken te ondersteunen, hebben CISO's hun inspanningen moeten richten op het aanpakken van cyberdreigingen. En dan vooral op het aanpakken van de gedistribueerde, cloud-afhankelijke werknemers van vandaag. Als gevolg daarvan is hun aandacht verschoven naar het voorkomen van de meest waarschijnlijke aanvallen, zoals business email compromise, ransomware, insider threats en DDoS," zegt Mark-Peter Mansveld, Vice President, Noord-Europa, Midden-Oosten & Israël bij Proofpoint. "2022 lijkt over het algemeen door CISO's te worden omarmd als de rust na de storm, maar dit gevoel is mogelijk misleidend. Met de toenemende geopolitieke spanningen en de toename van aanvallen waarbij de mens centraal staat, moeten bewustwording, voorbereiding en preventie van gebruikers worden aangemoedigd voordat cyberaanvallen weer de kop opsteken."
Het 2022 Voice of the CISO-rapport kan hier worden gedownload.