Bestuursleden voelt zich vaker onvoorbereid voor een gerichte aanval
Bijna driekwart (73%) van de respondenten het gevoel heeft risico te lopen op een materiële cyberaanval, een stijging ten opzichte van 2022 (65%). Ook voelt 53% zich onvoorbereid op een gerichte aanval, tegenover 47% vorig jaar.
Dit blijkt uit het tweede jaarlijkse Cybersecurity: The 2023 Board Perspective Report van securitybedrijf Proofpoint. Het Cybersecurity: The 2023 Board Perspective Report analyseert de enquête-antwoorden van 659 bestuursleden van organisaties met 5.000 of meer werknemers uit allerlei sectoren. In juni 2023 werden meer dan 50 bestuursleden ondervraagd in de volgende landen: de VS, Canada, het VK, Frankrijk, Duitsland, Italië, Spanje, Australië, Singapore, Japan, Brazilië en Mexico.
Onvoorspelbaarheid van het bedreigingslandschap
De toename kan volgens Proofpoint het gevolg zijn van de onvoorspelbaarheid van het bedreigingslandschap. Zo werd het afgelopen jaar gekenmerkt door aanhoudende geopolitieke spanningen, een toename van ontwrichtende ransomware en aanvallen op de supply chain. Het groeiende risico van kunstmatige intelligentie (AI)-tools zoals ChatGPT kan ook bijdragen aan dit sentiment: 59% van de bestuursleden is van mening dat generatieve AI een beveiligingsrisico vormt voor hun organisatie.
Bestuursleden maken zich hier dus zorgen over, ondanks dat 73% van hen cybersecurity als een prioriteit beschouwt. Daarnaast is 72% van mening dat hun bestuur de cyberrisico's waarmee ze worden geconfronteerd goed begrijpt en 70% denkt dat ze voldoende hebben geïnvesteerd in cybersecurity.
Drie thema's
Het rapport richt zich op drie belangrijke thema's: de cyberbedreigingen en -risico's waarmee bestuurders te maken hebben, de mate waarin zij voorbereid zijn om zich tegen deze bedreigingen te verdedigen, en in hoeverre ze op één lijn zitten met CISO's. Voor dit laatste punt wordt gekeken naar de resultaten van het 2023 Voice of the CISO-rapport. Uit de analyse blijkt dat het aantal CISO's dat zich kwetsbaar en onvoorbereid voelt, op vergelijkbare wijze is gestegen, en dat bestuurders en beveiligingsleiders meer op één lijn zitten dan voorheen.
"Deze consensus tussen bestuurders en hun CISO's over cyberrisico's en -paraatheid is een positief teken dat zij nauwer samenwerken. Deze toenadering heeft echter nog niet geleid tot significante verbeteringen in de cybersecurityhouding. En dat terwijl bestuursleden tevreden zijn over de tijd en middelen die ze investeren om dit risico te bestrijden", zegt Ryan Kalember, Executive Vice President Cybersecurity Strategy bij Proofpoint. "Onze bevindingen tonen aan dat het een uitdaging blijft om de toegenomen bewustwording te vertalen naar effectieve cybersecurity-strategieën. Het is essentieel om de band tussen de raad van bestuur en de CISO nog verder te versterken. Zo kunnen directeurs en beveiligingsleiders zinvollere gesprekken voeren en ervoor zorgen dat ze investeren in de juiste zaken."
Enkele bevindingen uit het Cybersecurity: The 2023 Board Perspective Report zijn:
- Generatieve AI heeft de aandacht van de bestuursraad: nu tools zoals ChatGPT regelmatig in de schijnwerpers staan, ziet 59% van de respondenten deze opkomende technologie als een beveiligingsrisico voor hun organisatie.
- Bestuursleden maken zich meer zorgen over cyberrisico's: 73% van de ondervraagden vindt dat hun organisatie risico loopt op een materiële cyberaanval, vergeleken met 65% in 2022.
- Bewustwording en budgetten vertalen zich niet in paraatheid: 73% van de bestuursleden stelt dat cybersecurity voor hen een prioriteit is, 72% gelooft dat hun bestuur de cyberrisico's begrijpt waarmee ze te maken hebben, 70% vindt dat ze genoeg hebben geïnvesteerd in cybersecurity en 84% gelooft dat hun budget voor cybersecurity de komende 12 maanden zal toenemen. Deze inspanningen leiden echter niet tot een betere paraatheid: 53% denkt dat hun organisatie niet voorbereid is op een cyberaanval in de komende 12 maanden.
- Bestuurders en CISO's zijn het in grote lijnen eens over hun grootste bedreigingen: bestuurders noemen malware hun grootste zorg (40%), gevolgd door insider threats (36%) en aanvallen op cloudaccounts (36%). Dit verschilt nauwelijks van CISO's. Zij noemen e-mailfraude/BEC (33%), insider threats (30%) en aanvallen op cloudaccounts (29%) als hun grootste zorgen.
- Bestuurders zitten niet helemaal op één lijn met CISO's op het gebied van menselijke risico's en databeveiliging: hoewel de meeste bestuurders (63%) en CISO's (60%) het erover eens zijn dat menselijke fouten hun grootste risico vormen, hebben bestuursleden (75%) een stuk meer vertrouwen in hun organisatie om data te beschermen dan CISO's (60%).
- Bovenaan het verlanglijstje van bestuursleden staan hogere budgetten, extra cybermiddelen en betere informatie over bedreigingen: 37% van de bestuursleden zegt dat hun organisatie baat zou hebben bij een groter cybersecurity-budget, 35% wil meer cybermiddelen en 35% wil betere informatie over bedreigingen.
- De verstandhouding tussen bestuurders en CISO's wordt geleidelijk beter: 53% van de bestuursleden zegt regelmatig contact te hebben met beveiligingsleiders. Hoewel dit een stijging is ten opzichte van vorig jaar (47%), is nog steeds in bijna de helft van de gevallen geen sprake van een sterke relatie tussen de CISO en de C-suite. Leden van de raad van bestuur en CISO's zitten over het algemeen echter wel op één lijn als ze contact met elkaar hebben: 65% van de bestuursleden en 62% van de CISO's zeggen dat ze het met elkaar eens zijn.
- Persoonlijke aansprakelijkheid is een punt van zorg voor bestuurders en CISO's: 72% van de bestuursleden geeft aan bezorgd te zijn over persoonlijke aansprakelijkheid in de nasleep van een cybersecurity-incident bij hun eigen organisatie en 62% van de CISO's is het hiermee eens.
"Bestuursleden nemen cybersecurity serieus en maken zich geen illusies over menselijke risico's en de impact die cyberdreigingen hebben op het bedrijfsresultaat. Ze boeken vooruitgang in hun relaties met beveiligingsleiders en begrijpen dat een sterke samenwerking tussen de raad van bestuur en CISO belangrijker is dan ooit," zegt Kalember. "Maar dit is niet het moment om achterover te leunen. Het bestuur moet blijven investeren in de paraatheid en veerkracht van de organisatie. Dit betekent dat er nog diepgaandere, productievere gesprekken moeten worden gevoerd met CISO's om ervoor te zorgen dat bestuurders weloverwogen, strategische beslissingen nemen die positieve resultaten opleveren."
Het Cybersecurity: The 2023 Board Perspective Report is hier beschikbaar.