Bestuursleden zijn niet voorbereid op cyberaanval terwijl cybersecurity hoog op de agenda staat
Cybersecurity is een veelbesproken onderwerp
11 oktober 2022 -
Proofpoint en Cybersecurity at MIT Sloan (CAMS) presenteren het Cybersecurity: The 2022 Board Perspective-rapport. Dit rapport onderzoekt hoe bestuurders aankijken tegen de belangrijkste uitdagingen en risico’s voor hun organisaties. Hieruit blijkt dat cybersecurity hoog op de agenda staat. 77 procent van de respondenten stelt dat cybersecurity een topprioriteit is voor hun raad van bestuur en 76 procent bespreekt het onderwerp minimaal één keer per maand.
Verder is 75 procent van mening dat hun raad van bestuur duidelijk inzicht heeft in de systeemrisico's voor hun organisaties en 76 procent zegt voldoende te hebben geïnvesteerd in cyberbeveiliging. Maar dit optimisme kan misplaatst zijn. Uit het rapport blijkt dat bijna twee derde (65 procent) van de bestuursleden denkt dat hun organisatie in de komende twaalf maanden het risico loopt op een cyberaanval. Bijna de helft (47 procent) denkt dat hun organisatie niet voorbereid is op een dergelijke gerichte aanval. En slechts twee derde van de bestuursleden ziet menselijke fouten als hun grootste cyberkwetsbaarheid. Dit terwijl het World Economic Forum heeft vastgesteld dat menselijke fouten tot 95 procent van alle cybersecurity-incidenten leiden.
Drie belangrijke security-aspecten
Het Cybersecurity: The 2022 Board Perspective-rapport analyseert ingevulde vragenlijsten van 600 bestuursleden die werken bij organisaties met 5000 of meer werknemers uit verschillende sectoren over de hele wereld. In augustus 2022 werden in de VS, Canada, het VK, Frankrijk, Duitsland, Italië, Spanje, Australië, Singapore, Japan, Brazilië en Mexico 50 bestuursleden per land ondervraagd.
Het rapport onderzoekt drie belangrijke cybersecurity-aspecten. Allereerst de cyberdreigingen en -risico's waarmee raden van bestuur worden geconfronteerd. Daarnaast wordt gekeken in hoeverre zij voorbereid zijn op het tegengaan van deze dreigingen. En ten slotte wordt nagegaan of zij op één lijn zitten met CISO's, waarbij een vergelijking wordt gemaakt met het 2022 Voice of the CISO-rapport. Hieruit blijkt dat beide partijen een andere mening hebben over de belangrijkste cyberrisico's, gevolgen en bedreigingen.
"Het is bemoedigend om te zien dat cybersecurity eindelijk een belangrijk onderwerp is tijdens gesprekken in bestuurskamers. Ons rapport laat echter zien dat bestuurders nog een lange weg te gaan hebben als het gaat om kennis van het dreigingslandschap en de voorbereiding op cyberaanvallen," aldus Lucia Milică, Vice President en Global Resident CISO bij Proofpoint. "Een van de manieren waarop raden van bestuur de paraatheid kunnen vergroten is door op één lijn te komen met hun CISO's. De relatie tussen de raad van bestuur en de CISO is essentieel voor de bescherming van werknemers en data. Beide partijen moeten streven naar effectievere communicatie en samenwerking om het succes van de organisatie te garanderen."
Bevindingen
Dit rapport van Proofpoint en CAMS biedt inzicht in wereldwijde trends en benadrukt dat er veel verschillen zijn tussen sectoren en regio's. De belangrijkste wereldwijde bevindingen zijn:
Bestuurders achten de kans op een cyberaanval groter dan CISO's. 65 procent van de bestuursleden is van mening dat hun organisatie de komende twaalf maanden het risico loopt op een materiële cyberaanval, tegenover 48 procent van de CISO's.
Bestuurders en CISO's zijn even bezorgd over de bedreigingen waarmee hun organisaties worden geconfronteerd. De raad van bestuur ziet e-mailfraude/business email compromise (BEC) als hun grootste zorg (41 procent), gevolgd door cloud account compromise (37 procent) en ransomware (32 procent). Hoewel e-mailfraude/BEC en compromittering van cloudaccounts ook tot de grootste zorgen van CISO's behoren, beschouwen zij insider threats als het grootste risico, terwijl bestuursleden insider threats als een minder grote zorg zien.
Meer bewustwording en financiering zorgt niet automatisch voor paraatheid. Hoewel 75 procent van de ondervraagden vindt dat de raad van bestuur het systeemrisico van hun organisatie begrijpt, 76 procent denkt dat zij voldoende hebben geïnvesteerd in cybersecurity, 75 procent stelt dat hun gegevens voldoende worden beschermd en 76 procent cybersecurity ten minste maandelijks bespreekt, lijken deze inspanningen onvoldoende - 47 procent vindt nog steeds dat hun organisatie niet voorbereid is op een cyberaanval in de komende 12 maanden.
Bestuursleden zijn het niet eens met CISO's over de belangrijkste gevolgen van een cyberaanval. Het openbaar maken van interne data staat bovenaan de lijst van zorgen van bestuurders (37 procent), op de voet gevolgd door reputatieschade (34 procent) en omzetverlies (33 procent). Deze zorgen staan in schril contrast met die van CISO's, die zich meer zorgen maken over aanzienlijke downtime, verstoring van de bedrijfsvoering en gevolgen voor de bedrijfswaarde.
Een hoge mate van bewustwording onder werknemers beschermt niet tegen menselijke fouten. Hoewel 76 procent van de ondervraagden denkt dat hun werknemers hun rol begrijpen bij het beschermen van de organisatie tegen bedreigingen, gelooft 67 procent van de bestuursleden dat menselijke fouten de grootste cyberkwetsbaarheid vormen.
De relatie tussen raden van bestuur en CISO's is voor verbetering vatbaar. Hoewel 69 procent van de bestuursleden zegt op één lijn te zitten met hun CISO, is slechts 51 procent van de CISO's dezelfde mening toegedaan.
Bestuursraden lopen warm voor regelgevend toezicht. 80 procent van de respondenten is het ermee eens dat organisaties verplicht moeten worden een cyberaanval binnen een redelijke termijn aan de regelgevende instanties te melden en slechts zes procent is het daar niet mee eens.
Sleutelrol
"Bestuursleden spelen een sleutelrol in de cybersecurity-cultuur en -houding van hun organisaties. Bestuursleden hebben een vertrouwensfunctie en houden toezicht op hun organisaties. Daarom moeten zij niet alleen inzicht hebben in de cybersecurity-bedreigingen waarmee hun organisaties te maken hebben, maar ook in de strategie van hun organisaties tegen cyberaanvallen," aldus Dr. Keri Pearlson, Executive Director bij Cybersecurity at MIT Sloan (CAMS). "Bestuursleden moeten ernaar streven om van CISO's hun strategische partners te maken. Nu cybersecurity hoog op de agenda staat, zal het de bescherming en veerkracht van hun organisaties alleen maar ten goede komen als de prioriteiten van CISO's en die van het bestuur beter op elkaar worden afgestemd."
Het Cybersecurity: The 2022 Board Perspective-report is hier beschikbaar.