Mens US Securities and Exchange Commission har publisert retningslinjer for bedre styring av cybersikkerhet i årevis har offentlige selskaper stort sett ignorert dem. Og selv om kravene kan være vanskelige å tilfredsstille, har selskaper som har gjort innsatsen skapt nesten fire ganger sin aksjonærverdi sammenlignet med de som ikke har gjort det.

Det er konklusjonen i en ny undersøkelse utført i fellesskap av Bitsight og Diligent Institute, med tittelen "Cybersikkerhet, revisjon og styret." Undersøkelsen tok et dypdykk i mer enn 4,000 mellomstore til store selskaper rundt om i verden, og undersøkte ekspertisen til styremedlemmer sammen med bakgrunnen til revisjon og spesialiserte risikokomiteer. De målte cybersikkerhetsekspertise på tvers av 23 forskjellige risikofaktorer, for eksempel tilstedeværelsen av botnettinfeksjoner, servere som er vert for skadelig programvare, utdaterte krypteringssertifikater for nett- og e-postkommunikasjon og åpne nettverksporter på offentlige servere.

"Styrer som utøver cybertilsyn gjennom spesialiserte komiteer med et cyberekspertmedlem i motsetning til å stole på hele styret, er mer sannsynlig å forbedre sine generelle sikkerhetsstillinger og økonomiske resultater," sier Ladi Adefala, en cybersikkerhetskonsulent og administrerende direktør i Omega315, som er enig. med rapportens konklusjoner. Han jobbet for et Fortune 500-selskap med denne saken og fant ut at «styret ikke hadde en fokusert komité som kunne bruke tid på å grave i cyber-emner. De hadde heller ikke nok medlemmer og har derfor ikke råd til å ha spesialiserte komiteer for cyber, sier han. En del av konsulentpraksisen hans er å hjelpe til med å sette opp slike komiteer, det han kaller å gi leksjoner om cyberborgerskap.

Bortsett fra folkressurser er dårlig styring av cybersikkerhet egentlig ikke en nyhet: Offentlige selskaper har gitt cybersikkerhet kort tid i årevis. For eksempel sikkerhetsekspert David Froud har skrevet om dette emnet siden minst 2017. Men det nye er å se hvor vanskelig det er å vurdere cyberkunnskap og å bygge varig styring.

I følge Bitsight-rapporten gir det de beste resultatene å ha separate styreutvalg fokusert på spesialisert risiko og revisjonsoverholdelse. Forfatterne skrev: "Disse komiteene er bedre posisjonert til å dykke dypt inn i spesifikke cybersikkerhetsspørsmål, og de kan utvikle sterkere relasjoner med lederne som har ansvaret for den daglige cybersikkerhetsoperasjonen. Dette kan igjen føre til at bedre cybersikkerhetsrelatert policy, budsjett og andre beslutninger tas på styrenivå.»

Undersøkelsen fant et bredt spekter av cybererfaring blant helse- og finansrelaterte selskaper - som rangerte høyest - sammenlignet med industribedrifter som rangerte lavest.

Det som er talende er at de aller fleste bedrifter har gjort en dårlig jobb med å integrere slike spesialister i sine styrer og utvalg. Rapporten fant at 5 % av de spurte (og 12 % av S&P 500-selskapene) hadde disse spesialistene i styret. Men bare det å ha en CISO eller CTO i styret er ingen garanti for ytelse på nettsikkerhet. "Disse ekspertene må integreres i eksisterende strukturer" og beskyttelsestiltak, bemerket Bitsight.

Ikke nevnt i rapporten var et annet svakt punkt for styring: å bygge varig cyberresiliens. Dette var gjenstand for en annen undersøkelse, utført av Cybersecurity ved MIT Sloan Research Consortium og publisert i Harvard Business Review i fjor. MIT-teamet undersøkte 600 styremedlemmer og fant at deres interaksjoner med CISO-er mangler. Færre enn halvparten av respondentene har regelmessig kontakt med sine CISOer, hovedsakelig begrenset til presentasjoner på styremøter og ikke mye annet.

I mange tilfeller er disse presentasjonene begrenset til mekanikken til beskyttelsestiltak, for eksempel hvor ofte de gjennomfører øvelser for røde lag eller phishing-opplæring. Keri Pearlson, administrerende direktør for MIT-konsortiet og medforfatter (sammen med Lucia Milică, Global Resident CISO ved Proofpoint) av HBR-artikkelen, trekker en analogi med den medisinske verdenen: "Når vi blir utsatt for en infeksjon, gjør vi enten Hvis vi ikke blir syke, eller hvis vi blir syke, har vi ting i kroppen som automatisk går på jobb for å få oss tilbake til å bli bedre.»

Det som er nødvendig, legger hun til, er at "styrene diskuterer organisasjonens cybersikkerhet-induserte risikoer og evaluerer planer for å håndtere disse risikoene."

Som Adefala oppsummerer det, "Den mest overbevisende måten er å utnytte cybersikkerhet som en strategisk ressurs for inntektsskaping eller operasjonell smidighet, snarere enn som en operasjonell nødvendighet."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value