Proofpoint tillsammans med Cybersecurity at MIT Sloan (CAMS) lanserar i dag rapporten Cybersecurity: The 2022 Board Perspective, som kartlägger styrelsens uppfattningar om deras viktigaste utmaningar och risker.
I rapporten uppger 77 procent av deltagarna att cybersäkerhet är en högsta prioritet för deras styrelse och 76 procent diskuterar ämnet minst en gång i månaden. Följaktligen tror 75 procent att deras styrelser tydligt förstår de systemrisker som deras organisationer står inför och 76 procent hävdar att de har gjort tillräckliga investeringar i cybersäkerhet.
Men rapport tar även upp att nästan två tredjedelar (65 procent) av styrelseledamöterna tror att deras organisation löper risk för materiella cyberangrepp under de kommande 12 månaderna. Nästan hälften (47 procent) anser att deras organisation är oförberedd på att klara av en riktad attack. Dessutom ser enbart två tredjedelar av styrelseledamöterna mänskliga fel som den allvarligaste cybersårbarhet — detta trots att World Economic Forum fann att denna risk leder till 95 procent av alla cybersäkerhetsincidenter.
– Det är uppmuntrande att se att cybersäkerhet äntligen är ett fokusområde i styrelserummen. Men vår rapport visar att styrelser fortfarande har en lång väg kvar att gå för att förstå hotbilden och förbereda sina organisationer för materiella cyberattacker, säger Lucia Milică, vice president and global resident CISO på Proofpoint.
Andra nyckelpunkter från rapporten:
Det finns en koppling mellan styrelserummet och CISO när man utvärderar risken. 65 procent av styrelseledamöterna tror att deras organisation riskerar att utsättas för materiella cyberattacker under de kommande 12 månaderna, jämfört med 48 procent av CISO:erna.
Styrelsemedlemmar rankade BEC-attacker som deras största oro (41 procent), följt av kapade molnkonton (37 procent) och ransomware (32 procent). CISO:er ser insiders som deras främsta hot, medan styrelsemedlemmar bedömer insiders som ett lägre problem.
Medvetenhet och finansiering översätts inte till beredskap: även om 75 % av de tillfrågade tycker att deras styrelse förstår organisationens systemrisk, tycker 76 % att de har investerat tillräckligt i cybersäkerhet, 75 % anser att deras data är tillräckligt skyddad och 76 % diskuterar cybersäkerhet på minst en gång i månaden verkar dessa ansträngningar vara otillräckliga – 47 % ser fortfarande sin organisation som oförberedd på att klara av en cyberattack under de kommande 12 månaderna.
Styrelseledamöter är oense med CISO om de viktigaste konsekvenserna av en cyberincident: interna data som blir offentliga är högst upp på listan över oro för styrelser (37 procent), tätt följt av förlorat anseende/rykte (34 procent) och intäktsförlust (33 procent). Dessa farhågor står i skarp kontrast till CISO:ers, som är mer oroliga för betydande driftstopp, driftstörningar och inverkan på företagsvärderingar.
80 procent av de tillfrågade i undersökningen håller med om att organisationer bör tvingas rapportera en väsentlig cyberattack till tillsynsmyndigheter inom en rimlig tidsram. Endast 6 procent håller inte med.
– Styrelsemedlemmar spelar en nyckelroll i deras organisationers cybersäkerhetskultur och cybersäkerhetsställning. Styrelseledamöter har förtroende- och tillsynsansvar för sina organisationer; därför måste de förstå de cybersäkerhetshot som deras organisationer står inför och den strategi som deras organisationer väljer, säger Dr Keri Pearlson, vd på Cybersecurity vid MIT Sloan (CAMS).
