Terwijl de Amerikaanse Securities and Exchange Commission dit heeft gepubliceerd richtlijnen voor een beter bestuur op het gebied van cyberbeveiliging Jarenlang hebben overheidsbedrijven deze grotendeels genegeerd. En hoewel het lastig kan zijn om aan de eisen te voldoen, hebben bedrijven die de moeite hebben genomen bijna vier keer zoveel aandeelhouderswaarde gecreëerd als bedrijven die dat niet hebben gedaan.

Dat is de conclusie van een nieuw onderzoek, gezamenlijk uitgevoerd door Bitsight en Diligent Institute, getiteld “Cyberbeveiliging, audit en het bestuur.” Voor het onderzoek is uitgebreid gekeken naar meer dan 4,000 middelgrote tot grote bedrijven over de hele wereld, waarbij de expertise van bestuurders en de achtergronden van audit- en gespecialiseerde leden van de risicocommissies werden onderzocht. Ze maten de expertise op het gebied van cyberbeveiliging op basis van 23 verschillende risicofactoren, zoals de aanwezigheid van botnetinfecties, servers die malware hosten, verouderde encryptiecertificaten voor web- en e-mailcommunicatie en open netwerkpoorten op openbare servers.

“Besturen die cybertoezicht uitoefenen via gespecialiseerde commissies met een lid van een cyberexpert, in plaats van te vertrouwen op het voltallige bestuur, zullen eerder hun algemene veiligheidsposities en financiële prestaties verbeteren”, zegt Ladi Adefala, een cybersecurity-consultant en CEO van Omega315, die het daarmee eens is. met de conclusies van het rapport. Hij werkte voor een Fortune 500-bedrijf aan deze kwestie en ontdekte dat “het bestuur geen gerichte commissie had die de tijd kon besteden aan het verdiepen in cyberonderwerpen. Ze hadden ook niet genoeg leden en kunnen zich daarom geen gespecialiseerde commissies voor cyber veroorloven”, zegt hij. Een deel van zijn adviespraktijk bestaat uit het helpen opzetten van dergelijke commissies, wat hij het geven van cyberburgerschapslessen noemt.

Afgezien van de menselijke hulpbronnen is slecht bestuur op het gebied van cyberbeveiliging niet echt nieuws: overheidsbedrijven geven cyberbeveiliging al jaren korte metten. Beveiligingsexpert bijvoorbeeld David Froud schrijft al sinds 2017 over dit onderwerp. Maar wat nieuw is, is zien hoe moeilijk het is om cyberkennis te beoordelen en duurzaam bestuur op te bouwen.

Volgens het Bitsight-rapport levert het hebben van afzonderlijke bestuurscommissies die zich richten op gespecialiseerde risico's en auditcompliance de beste resultaten op. De auteurs schreven: “Deze commissies zijn beter gepositioneerd om diep in specifieke cyberbeveiligingskwesties te duiken en kunnen sterkere relaties ontwikkelen met de leidinggevenden die belast zijn met de dagelijkse cyberbeveiligingsoperaties. Dit kan er op zijn beurt toe leiden dat er op bestuursniveau betere cybersecurity-gerelateerde beleids-, begrotings- en andere beslissingen worden genomen.”

Uit het onderzoek bleek dat er sprake was van een breed scala aan cyberervaringen bij bedrijven in de gezondheidszorg en de financiële dienstverlening – die het hoogst scoorden – vergeleken met industriële bedrijven, die het laagst scoorden.

Wat veelzeggend is, is dat de overgrote meerderheid van de bedrijven er slecht in is geslaagd dergelijke specialisten in hun raden van bestuur en commissies te integreren. Uit het rapport blijkt dat 5% van de ondervraagden (en 12% van de S&P 500-bedrijven) deze specialisten in hun bestuur had. Maar alleen al het hebben van een CISO of CTO in het bestuur is geen garantie voor cybersecurityprestaties. “Deze experts moeten worden geïntegreerd in bestaande structuren” en beschermende maatregelen, merkte Bitsight op.

Niet genoemd in het rapport is een andere zwakke plek in het bestuur: het opbouwen van duurzame cyberveerkracht. Dit was het onderwerp van een ander onderzoek, uitgevoerd door de Cybersecurity van het MIT Sloan Research Consortium en gepubliceerd in de Harvard Business Review afgelopen jaar. Het MIT-team ondervroeg 600 bestuursleden en constateerde dat hun interacties met CISO's tekortschieten. Minder dan de helft van de respondenten heeft regelmatig contact met hun CISO's, meestal beperkt tot presentaties op bestuursvergaderingen en niet veel anders.

In veel gevallen zijn deze presentaties beperkt tot de werking van beschermende maatregelen, zoals hoe vaak ze red team-oefeningen of phishing-bewustzijnstrainingen uitvoeren. Keri Pearlson, uitvoerend directeur van het MIT-consortium en co-auteur (samen met Lucia Milică, Global Resident CISO bij Proofpoint) van het HBR-artikel, trekt een analogie met de medische wereld: “Als we worden blootgesteld aan een infectie, doen we dat niet niet ziek worden, of als we toch ziek worden, hebben we dingen in ons lichaam die automatisch aan het werk gaan om ons weer beter te laten worden.

Wat nodig is, voegt ze eraan toe, is dat “besturen de door cyberbeveiliging veroorzaakte risico’s van hun organisatie bespreken en plannen evalueren om die risico’s te beheersen.”

Zoals Adefala het samenvat: “De meest overtuigende manier is om cyberbeveiliging in te zetten als een strategische troef voor het genereren van inkomsten of operationele flexibiliteit, in plaats van als een operationele noodzaak.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value