Proofpoint: Bestuursleden zijn niet voorbereid op cyberaanval

proofpoint

Proofpoint, een toonaangevend cybersecurity- en compliancebedrijf, en Cybersecurity at MIT Sloan (CAMS), een interdisciplinair onderzoekscollectief, presenteren het Cybersecurity: The 2022 Board Perspective-rapport. Dit rapport onderzoekt hoe bestuurders aankijken tegen de belangrijkste uitdagingen en risico’s voor hun organisaties. Hieruit blijkt dat cybersecurity hoog op de agenda staat. 77% van de respondenten stelt dat cybersecurity een topprioriteit is voor hun raad van bestuur en 76% bespreekt het onderwerp minimaal één keer per maand. Verder is 75% van mening dat hun raad van bestuur duidelijk inzicht heeft in de systeemrisico's voor hun organisaties en 76% zegt voldoende te hebben geïnvesteerd in cyberbeveiliging.

 

Maar dit optimisme kan misplaatst zijn. Uit het rapport blijkt dat bijna twee derde (65%) van de bestuursleden denkt dat hun organisatie in de komende 12 maanden het risico loopt op een cyberaanval. Bijna de helft (47%) denkt dat hun organisatie niet voorbereid is op een dergelijke gerichte aanval. En slechts twee derde van de bestuursleden ziet menselijke fouten als hun grootste cyberkwetsbaarheid. Dit terwijl het World Economic Forum heeft vastgesteld dat menselijke fouten tot 95% van alle cybersecurity-incidenten leiden.

 

Het Cybersecurity: The 2022 Board Perspective-rapport analyseert ingevulde vragenlijsten van 600 bestuursleden die werken bij organisaties met 5000 of meer werknemers uit verschillende sectoren over de hele wereld. In augustus 2022 werden in de VS, Canada, het VK, Frankrijk, Duitsland, Italië, Spanje, Australië, Singapore, Japan, Brazilië en Mexico 50 bestuursleden per land ondervraagd.

 

Het rapport onderzoekt drie belangrijke cybersecurity-aspecten. Allereerst de cyberdreigingen en -risico's waarmee raden van bestuur worden geconfronteerd. Daarnaast wordt gekeken in hoeverre zij voorbereid zijn op het tegengaan van deze dreigingen. En ten slotte wordt nagegaan of zij op één lijn zitten met CISO's, waarbij een vergelijking wordt gemaakt met het 2022 Voice of the CISO-rapport. Hieruit blijkt dat beide partijen een andere mening hebben over de belangrijkste cyberrisico's, gevolgen en bedreigingen.

 

“Het is bemoedigend om te zien dat cybersecurity eindelijk een belangrijk onderwerp is tijdens gesprekken in bestuurskamers. Ons rapport laat echter zien dat bestuurders nog een lange weg te gaan hebben als het gaat om kennis van het dreigingslandschap en de voorbereiding op cyberaanvallen”, aldus Lucia Milică, Vice President en Global Resident CISO bij Proofpoint. “Een van de manieren waarop raden van bestuur de paraatheid kunnen vergroten is door op één lijn te komen met hun CISO's. De relatie tussen de raad van bestuur en de CISO is essentieel voor de bescherming van werknemers en data. Beide partijen moeten streven naar effectievere communicatie en samenwerking om het succes van de organisatie te garanderen.”

 

Dit rapport van Proofpoint en CAMS biedt inzicht in wereldwijde trends en benadrukt dat er veel verschillen zijn tussen sectoren en regio's. De belangrijkste wereldwijde bevindingen zijn:

  • Bestuurders achten de kans op een cyberaanval groter dan CISO's. 65% van de bestuursleden is van mening dat hun organisatie de komende 12 maanden het risico loopt op een materiële cyberaanval, tegenover 48% van de CISO's.

  • Bestuurders en CISO's zijn even bezorgd over de bedreigingen waarmee hun organisaties worden geconfronteerd. De raad van bestuur ziet e-mailfraude/business email compromise (BEC) als hun grootste zorg (41%), gevolgd door cloud account compromise (37%) en ransomware (32%). Hoewel e-mailfraude/BEC en compromittering van cloudaccounts ook tot de grootste zorgen van CISO's behoren, beschouwen zij insider threats als het grootste risico, terwijl bestuursleden insider threats als een minder grote zorg zien.

  • Meer bewustwording en financiering zorgt niet automatisch voor paraatheid. Hoewel 75% van de ondervraagden vindt dat de raad van bestuur het systeemrisico van hun organisatie begrijpt, 76% denkt dat zij voldoende hebben geïnvesteerd in cybersecurity, 75% stelt dat hun gegevens voldoende worden beschermd en 76% cybersecurity ten minste maandelijks bespreekt, lijken deze inspanningen onvoldoende - 47% vindt nog steeds dat hun organisatie niet voorbereid is op een cyberaanval in de komende 12 maanden.

  • Bestuursleden zijn het niet eens met CISO's over de belangrijkste gevolgen van een cyberaanval. Het openbaar maken van interne data staat bovenaan de lijst van zorgen van bestuurders (37%), op de voet gevolgd door reputatieschade (34%) en omzetverlies (33%). Deze zorgen staan in schril contrast met die van CISO's, die zich meer zorgen maken over aanzienlijke downtime, verstoring van de bedrijfsvoering en gevolgen voor de bedrijfswaarde.

  • Een hoge mate van bewustwording onder werknemers beschermt niet tegen menselijke fouten. Hoewel 76% van de ondervraagden denkt dat hun werknemers hun rol begrijpen bij het beschermen van de organisatie tegen bedreigingen, gelooft 67% van de bestuursleden dat menselijke fouten de grootste cyberkwetsbaarheid vormen. 

  • De relatie tussen raden van bestuur en CISO's is voor verbetering vatbaar. Hoewel 69% van de bestuursleden zegt op één lijn te zitten met hun CISO, is slechts 51% van de CISO's dezelfde mening toegedaan. 

  • Bestuursraden lopen warm voor regelgevend toezicht. 80% van de respondenten is het ermee eens dat organisaties verplicht moeten worden een cyberaanval binnen een redelijke termijn aan de regelgevende instanties te melden en slechts 6% is het daar niet mee eens.

 

“Bestuursleden spelen een sleutelrol in de cybersecurity-cultuur en -houding van hun organisaties. Bestuursleden hebben een vertrouwensfunctie en houden toezicht op hun organisaties. Daarom moeten zij niet alleen inzicht hebben in de cybersecurity-bedreigingen waarmee hun organisaties te maken hebben, maar ook in de strategie van hun organisaties tegen cyberaanvallen”, aldus Dr. Keri Pearlson, Executive Director bij Cybersecurity at MIT Sloan (CAMS). “Bestuursleden moeten ernaar streven om van CISO's hun strategische partners te maken. Nu cybersecurity hoog op de agenda staat, zal het de bescherming en veerkracht van hun organisaties alleen maar ten goede komen als de prioriteiten van CISO's en die van het bestuur beter op elkaar worden afgestemd.”

 

Het Cybersecurity: The 2022 Board Perspective-report is hier beschikbaar: 

https://www.proofpoint.com/us/resources/white-papers/board-perspective-report 

 

Meer informatie voor CISO's, waaronder inzichten, onderzoeken, trends, technische hulpmiddelen, tools en aankomende evenementen, is te vinden via de CISO Hub van Proofpoint. Elke maand wordt een actueel onderwerp behandeld dat relevant is voor CISO's. 

 

Lees ook
Samenwerkingsverband Agrifood Cyberweerbaarheid lanceert Cybersecurity Self-assessment Tool

Samenwerkingsverband Agrifood Cyberweerbaarheid lanceert Cybersecurity Self-assessment Tool

Met gepaste trots kondigt de projectgroep Agrifood Cyberweerbaarheid, een initiatief van ForFarmers, De Heus, Vion Food Group, Eurofins Agro, Nutreco en Royal Friesland Campina met ondersteuning van AgroConnect en het Digital Trust Center (DTC), de lancering van de Agrifood Cybersecurity Self Assessment Tool aan.

Lookout kondigt ’s werelds eerste endpoint to cloud securityplatform aan

Lookout kondigt ’s werelds eerste endpoint to cloud securityplatform aan

Securitybedrijf Lookout komt met verbeterde functionaliteit en functies voor het Lookout Cloud Security Platform: ‘s werelds eerste endpoint-tot-cloud securityoplossing. Het cloud-native platform van Lookout biedt nu een uniform beleidskader voor beheer en handhaving voor alle mobiele devices en voor cloud-, internet- en private apps.

ENISA -Do-It-Yourself Toolbox - Cybersecurity Awareness Raising

ENISA -Do-It-Yourself Toolbox - Cybersecurity Awareness Raising

Awareness Raising of bewustmakingsprogramma's dienen een onmisbaar onderdeel van de cyberbeveiligingsstrategie van een organisatie te zijn. Ze worden gebruikt om goede omgang met IT te stimuleren en veranderingen teweeg te brengen in de cyberbeveiligingscultuur van werknemers.