Sementara Komisi Sekuritas dan Bursa AS telah menerbitkannya pedoman tata kelola keamanan siber yang lebih baik selama bertahun-tahun, sebagian besar perusahaan publik mengabaikannya. Meskipun persyaratan ini mungkin sulit untuk dipenuhi, perusahaan yang telah melakukan upaya tersebut mampu menciptakan nilai pemegang saham hampir empat kali lipat dibandingkan dengan perusahaan yang tidak melakukan upaya tersebut.

Itulah kesimpulan dari survei baru yang dilakukan bersama oleh Bitsight dan Diligent Institute bertajuk “Keamanan Siber, Audit, dan Dewan.” Survei ini mendalami lebih dari 4,000 perusahaan menengah hingga besar di seluruh dunia, menyelidiki keahlian para direktur serta latar belakang audit dan anggota komite risiko khusus. Mereka mengukur keahlian keamanan siber pada 23 faktor risiko yang berbeda, seperti adanya infeksi botnet, server yang menampung malware, sertifikat enkripsi yang ketinggalan zaman untuk komunikasi Web dan email, dan port jaringan terbuka pada server yang dapat diakses oleh publik.

“Dewan yang melakukan pengawasan siber melalui komite khusus yang beranggotakan ahli siber dibandingkan mengandalkan seluruh dewan direksi akan lebih mampu meningkatkan postur keamanan dan kinerja keuangan mereka secara keseluruhan,” ujar Ladi Adefala, konsultan keamanan siber dan CEO Omega315, yang sependapat dengan hal tersebut. dengan kesimpulan laporan tersebut. Dia bekerja di sebuah perusahaan Fortune 500 dalam isu ini dan menemukan bahwa “dewan tidak memiliki komite yang terfokus untuk menghabiskan waktu menggali topik-topik dunia maya. Mereka juga tidak memiliki cukup anggota sehingga tidak mampu memiliki komite khusus untuk dunia maya,” katanya. Salah satu bagian dari praktik konsultasinya adalah membantu membentuk komite-komite semacam itu, yang disebutnya dengan memberikan pelajaran mengenai kewarganegaraan dunia maya.

Terlepas dari sumber daya manusia, tata kelola keamanan siber yang buruk bukanlah berita baru: Perusahaan-perusahaan publik telah mengabaikan keamanan siber selama bertahun-tahun. Misalnya, pakar keamanan David Froud telah menulis tentang topik ini setidaknya sejak tahun 2017. Namun yang baru adalah melihat betapa sulitnya menilai pengetahuan dunia maya dan membangun tata kelola yang berkelanjutan.

Menurut laporan Bitsight, memiliki komite dewan terpisah yang berfokus pada risiko khusus dan kepatuhan audit akan memberikan hasil terbaik. Para penulis menulis, “Komite-komite ini memiliki posisi yang lebih baik untuk mendalami isu-isu keamanan siber tertentu dan mereka dapat mengembangkan hubungan yang lebih kuat dengan para eksekutif yang bertanggung jawab atas operasi keamanan siber sehari-hari. Hal ini, pada gilirannya, dapat menghasilkan kebijakan, anggaran, dan keputusan lain terkait keamanan siber yang lebih baik yang dibuat di tingkat dewan.”

Survei tersebut menemukan pengalaman siber yang beragam di antara perusahaan-perusahaan yang terkait dengan layanan kesehatan dan jasa keuangan – yang menempati peringkat tertinggi – dibandingkan dengan perusahaan industri, yang menempati peringkat terendah.

Hal yang menarik adalah sebagian besar perusahaan tidak melakukan pekerjaan yang baik dalam mengintegrasikan spesialis tersebut ke dalam dewan direksi dan komite mereka. Laporan tersebut menemukan bahwa 5% dari perusahaan yang disurvei (dan 12% dari perusahaan S&P 500) memiliki spesialis ini di dewan direksi mereka. Namun hanya dengan memiliki CISO atau CTO di dewan direksi tidak menjamin kinerja keamanan siber. “Para ahli ini perlu diintegrasikan ke dalam struktur yang ada” dan tindakan perlindungan, kata Bitsight.

Laporan ini tidak menyebutkan kelemahan tata kelola lainnya: membangun ketahanan siber yang langgeng. Ini adalah subjek survei lain yang dilakukan oleh Keamanan Siber di MIT Sloan Research Consortium dan diterbitkan dalam Harvard Business Review tahun lalu. Tim MIT mensurvei 600 anggota dewan dan menemukan bahwa interaksi mereka dengan CISO masih kurang. Kurang dari separuh responden mempunyai kontak rutin dengan CISO mereka, sebagian besar terbatas pada presentasi yang dilakukan pada rapat dewan dan tidak banyak lagi.

Dalam banyak kasus, presentasi ini terbatas pada mekanisme tindakan perlindungan, seperti seberapa sering mereka melakukan latihan tim merah atau pelatihan kesadaran phishing. Keri Pearlson, direktur eksekutif konsorsium MIT dan rekan penulis (bersama Lucia Milică, Global Resident CISO di Proofpoint) artikel HBR, menggambar analogi dengan dunia medis: “Saat kita terkena infeksi, kita juga tidak akan terkena infeksi. Jika kita tidak sakit, atau jika kita sakit, ada hal-hal di dalam tubuh kita yang secara otomatis bekerja untuk membuat kita kembali menjadi lebih baik.”

Yang dibutuhkan, tambahnya, adalah “dewan mendiskusikan risiko yang disebabkan oleh keamanan siber di organisasi mereka dan mengevaluasi rencana untuk mengelola risiko tersebut.”

Seperti yang dirangkum oleh Adefala, “Cara yang paling menarik adalah dengan memanfaatkan keamanan siber sebagai aset strategis untuk menghasilkan pendapatan atau kelincahan operasional, dan bukan sebagai kebutuhan operasional.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value