Medan US Securities and Exchange Commission har publicerat riktlinjer för bättre styrning av cybersäkerhet i åratal har offentliga företag för det mesta ignorerat dem. Och även om kraven kan vara svåra att uppfylla, skapade företag som har ansträngt sig nästan fyra gånger sitt aktieägarvärde jämfört med de som inte har gjort det.

Det är slutsatsen av en ny undersökning som genomförts gemensamt av Bitsight och Diligent Institute, med titeln "Cybersäkerhet, revision och styrelsen.” Undersökningen gjorde en djupdykning i mer än 4,000 23 medelstora till stora företag runt om i världen, och undersökte expertis hos styrelseledamöter tillsammans med bakgrunden till revision och specialiserade riskkommittémedlemmar. De mätte cybersäkerhetsexpertis över XNUMX olika riskfaktorer, såsom förekomsten av botnätinfektioner, servrar som är värd för skadlig programvara, föråldrade krypteringscertifikat för webb- och e-postkommunikation och öppna nätverksportar på servrar som är vända mot allmänheten.

"Styrelser som utövar cybertillsyn genom specialiserade kommittéer med en cyberexpertmedlem i stället för att förlita sig på hela styrelsen är mer benägna att förbättra sina övergripande säkerhetsställningar och finansiella resultat", säger Ladi Adefala, cybersäkerhetskonsult och VD för Omega315, som håller med om med rapportens slutsatser. Han arbetade för ett Fortune 500-företag i den här frågan och fann att "styrelsen inte hade en fokuserad kommitté som kunde lägga tid på att gräva i cyberämnen. De hade inte heller tillräckligt med medlemmar och har därför inte råd att ha specialiserade kommittéer för cyber, säger han. En del av hans konsultpraxis är att hjälpa till att inrätta sådana kommittéer, vad han kallar att ge lektioner i cybersamhällsvetenskap.

Bortsett från människors resurser är dålig cybersäkerhetsstyrning egentligen ingen nyhet: Offentliga företag har gett cybersäkerhet kort tid i flera år. Till exempel säkerhetsexpert David Froud har skrivit om detta ämne sedan åtminstone 2017. Men det som är nytt är att se hur svårt det är att bedöma cyberkunskap och att bygga varaktig styrning.

Enligt Bitsight-rapporten ger det bästa resultatet att ha separata styrelsekommittéer fokuserade på specialiserade risker och granskningsefterlevnad. Författarna skrev: "Dessa kommittéer är bättre positionerade för att dyka djupt in i specifika cybersäkerhetsfrågor och de kan utveckla starkare relationer med de chefer som ansvarar för den dagliga cybersäkerhetsverksamheten. Detta kan i sin tur leda till att bättre cybersäkerhetsrelaterad policy, budget och andra beslut fattas på styrelsenivå.”

Undersökningen fann ett brett utbud av cybererfarenhet bland sjukvårds- och finansiella tjänsterrelaterade företag — som rankades högst — jämfört med industriföretag som rankades lägst.

Det som är talande är att de allra flesta företag har gjort ett dåligt jobb med att integrera sådana specialister i sina styrelser och kommittéer. Rapporten fann att 5 % av de tillfrågade (och 12 % av S&P 500-företagen) hade dessa specialister i sina styrelser. Men att bara ha en CISO eller CTO i styrelsen är ingen garanti för cybersäkerhetsprestanda. "Dessa experter måste integreras i befintliga strukturer" och skyddsåtgärder, noterade Bitsight.

Inte nämnt i rapporten var en annan svag punkt i styrningen: att bygga bestående cyberresiliens. Detta var föremål för en annan undersökning, utförd av Cybersecurity vid MIT Sloan Research Consortium och publicerad i Harvard Business Review förra året. MIT-teamet undersökte 600 styrelsemedlemmar och fann att deras interaktioner med CISO:er saknas. Färre än hälften av de tillfrågade har någon regelbunden kontakt med sina CISO:er, mestadels begränsade till presentationer gjorda på styrelsemöten och inte mycket annat.

I många fall är dessa presentationer begränsade till mekaniken i skyddsåtgärder, till exempel hur ofta de genomför övningar för röda lag eller utbildning för nätfiske. Keri Pearlson, verkställande direktör för MIT-konsortiet och medförfattare (tillsammans med Lucia Milică, Global Resident CISO på Proofpoint) av HBR-artikeln, drar en analogi med den medicinska världen: "När vi utsätts för en infektion gör vi antingen" inte bli sjuka, eller om vi blir sjuka, har vi saker i våra kroppar som automatiskt går till jobbet för att få oss att bli bättre igen."

Vad som behövs, tillägger hon, är att "styrelser diskuterar sin organisations cybersäkerhetsinducerade risker och utvärderar planer för att hantera dessa risker."

Som Adefala sammanfattar det, "Det mest övertygande sättet är att utnyttja cybersäkerhet som en strategisk tillgång för inkomstskapande eller operativ smidighet, snarare än som en operativ nödvändighet."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value