Proofpoint: Meer cybersecurity-expertise op directieniveau nodig

Tijdens de jaarlijkse bijeenkomst van het World Economic Forum in Davos hebben CEO's van over de hele wereld de "Cyber Resilience Pledge" aangekondigd. Dit is een collectieve aanpak van cyberweerbaarheid die moet leiden tot een uniforme aanpak van cyberrisico's. De verklaring is ondertekend door grote internationale bedrijven, zoals Shell en Petronas. Maar ondanks de belofte van collectieve actie is uit recent onderzoek gebleken dat er een zorgwekkende kloof bestaat tussen CEO's, bestuursleden en Chief Information Security Officers (CISO's). Slechts 51% van de CISO's wereldwijd denkt dat zij op het gebied van cybersecurity op één lijn zitten met het bestuur. Lucia Milica, Global Resident CISO bij Proofpoint, stelt dat er eerst meer cybersecurity-expertise moet komen op directieniveau en dat er beter moet worden gecommuniceerd met CISO's, voordat deze uniforme aanpak succesvol kan zijn.

"Het is bemoedigend om te zien dat cyberweerbaarheid serieus wordt genomen door CEO's en bestuurders. En een meer uniforme aanpak om te reageren op cyberrisico's is zeker een positieve ontwikkeling. Dit soort toezeggingen en initiatieven kunnen echter alleen succesvol zijn als diezelfde leiders de fundamentele problemen aanpakken die een echt effectieve reactie in de weg staan", zegt Milica.

Kloof tussen directies en CISO's

"Maar al te vaak zien we een kloof tussen directies en hun Chief Information Security Officers (CISO's). Dit leidt er vaak toe dat cyberdreigingen verkeerd worden ingeschat, hetgeen de risico's voor bedrijven vergroot. Uit ons recente onderzoek blijkt dat slechts 51% van de CISO's wereldwijd van mening is dat hun raad van bestuur het met hen eens is op het gebied van cybersecurity."

"Vaak heeft dit te maken met communicatie. CISO's zouden rechtstreeks aan de CEO moeten rapporteren, niet aan de CIO, als cybersecurity daadwerkelijk prioriteit moet krijgen. Maar CISO's moeten ook het bedrijfsperspectief van de raad van bestuur beter begrijpen, zodat beide dezelfde taal spreken", aldus Milica.

Kennis naar bestuursniveau brengen

"Om het hoofd te kunnen bieden aan de complexiteit van het huidige dreigingslandschap, moeten organisaties kennis op het gebied van cybersecurity rechtstreeks naar het bestuursniveau brengen. De trend is al zichtbaar. In Australië moeten raden van bestuur toezicht houden op cyberweerbaarheid volgens de voorschriften van de Australian Prudential Regulation Authority (APRA). En eerder dit jaar heeft de Amerikaanse Securities and Exchange Commission een regel voorgesteld die vereist dat alle Amerikaanse beursgenoteerde ondernemingen informatie verstrekken over de deskundigheid van de raad van bestuur op het gebied van cybersecurity en over het toezicht van de raad van bestuur op de risico's van cybersecurity."

Milica: "Als er één positief punt is dat we kunnen halen uit een jaar vol cyberincidenten die de krantenkoppen hebben gehaald, dan is het wel dat directiekamers wereldwijd wakker zijn geschud. Nu het perspectief op aanzienlijke downtime, onderbroken activiteiten en gevolgen voor de bedrijfswaardering als gevolg van een cyberincident bij het bestuur zwaar weegt, zullen we in de komende 12 maanden hopelijk zien dat dit bewustzijn wordt omgezet in actie."