Proofpoint Voice of the CISO 2021-rapport: twee op de drie CISO's niet voorbereid op cyberaanvallen
Proofpoint, publiceert zijn allereerste Voice of the CISO-rapport. In dit rapport worden de belangrijkste uitdagingen belicht waarmee Chief Information Security Officers (CISO's) in de afgelopen twaalf maanden te maken hebben gekregen. 66% van de CISO's wereldwijd vindt dat hun organisatie niet voldoende is voorbereid op een cyberaanval. Daarnaast beschouwt 58% menselijke fouten als de grootste cyberkwetsbaarheid. Dit bewijst dat het door de pandemie noodzakelijk geworden thuiswerkmodel CISO's meer dan ooit op de proef heeft gesteld.
In het Voice of the CISO-rapport van dit jaar zijn de antwoorden geanalyseerd van meer dan 1.400 CISO's van middelgrote tot grote organisaties uit diverse branches. In het eerste kwartaal van 2021 werden honderd CISO's geïnterviewd in Nederland, de VS, Canada, het VK, Frankrijk, Duitsland, Italië, Spanje, Zweden, de VAE, Saoedi-Arabië, Australië, Japan en Singapore.
In het onderzoek worden drie belangrijke aspecten onderzocht. Ten eerste het dreigingsrisico en de cyberaanvallen waar CISO's dagelijks mee te maken hebben. Ten tweede de mate waarin werknemers en organisaties voorbereid zijn om cyberaanvallen het hoofd te bieden. Tot slot de impact van het hybride personeelsbestand op bedrijven, nu zij zich voorbereiden op de heropening van hun kantoren. Ook wordt ingegaan op de uitdagingen waarmee CISO's worden geconfronteerd in hun rol, hun positie binnen de C-suite en de verwachtingen van hun teams.
“Vorig jaar werden cybersecurity-teams over de hele wereld, letterlijk van de ene op de andere dag, uitgedaagd om hun beveiligingsbeleid aan te passen aan een volledig nieuwe situatie. Hierbij moest een balans worden gevonden tussen enerzijds het ondersteunen van werken op afstand en anderzijds bedrijfsonderbreking voorkomen, en tegelijkertijd die omgevingen beveiligen”, merkt Lucia Milica, Global Resident CISO bij Proofpoint, op. “Nu het nieuwe werken steeds flexibeler wordt, geldt deze uitdaging ook voor volgend jaar en de jaren daarna. Er wordt van CISO's verwacht dat ze niet alleen veel meer aanvalspunten beveiligen, maar ook dat ze gebruikers voorlichten over werken op afstand of hybride werken op de lange termijn. Daarnaast moeten CISO's klanten, interne stakeholders en de branche het vertrouwen geven dat dergelijke situaties voor onbepaalde tijd werkzaam blijven.”
Het Voice of the CISO 2021-rapport van Proofpoint belicht zowel algemene trends als regionale verschillen onder de wereldwijde CISO-gemeenschap. Belangrijke bevindingen in Nederland zijn onder meer:
- CISO's zijn op hun hoede voor uiteenlopende bedreigingen. 56% van de ondervraagde Nederlandse CISO's denkt dat zijn of haar organisatie de komende twaalf maanden risico loopt op een cyberaanval met een directe impact op de bedrijfsvoering. Gevraagd naar de soorten aanvallen die de CISO’s verwachten, kwamen supply chain-aanvallen met 34% op de eerste plaats. Daarna volgden Business Email Compromise (29%) en Cloud Account Compromise (Office 365- of Google-accounts die worden gecompromitteerd, 28%). Hoewel ransomware de laatste tijd de krantenkoppen domineert, staat het op de zevende plaats met 23%. Insider threats sluiten de lijst af met 19%.
- De cyberparaatheid van organisaties is nog steeds zorgwekkend. Meer dan een jaar nadat de pandemie het bedreigingslandschap voorgoed heeft veranderd, is 81% van de Nederlandse CISO's van mening dat zijn of haar organisatie niet is voorbereid op een gerichte cyberaanval in 2021 - het hoogste percentage van alle landen. Het cyberrisico neemt ook toe: 46% van de CISO's maakt zich meer zorgen over de gevolgen van een cyberaanval in 2021 dan in 2020.
- Bewustwording van gebruikers leidt niet altijd tot gedragsverandering. 55% van de respondenten in het onderzoek denkt dat werknemers hun rol begrijpen in het beschermen van hun organisatie tegen cyberdreigingen. Toch beschouwt 46% van de Nederlandse CISO's menselijke fouten nog steeds als de grootste cyberkwetsbaarheid van hun organisatie. Nederlandse CISO's noemden het klikken op een schadelijke link of het downloaden van een gecompromitteerd bestand, het opzettelijk lekken van data en het gebruik van ongeautoriseerde apparaten, tools en applicaties, als de voornaamste manieren waarop werknemers hun bedrijf in gevaar brengen.
- Langdurige hybride werkomgevingen vormen een nieuwe uitdaging voor CISO's. 46% van de Nederlandse CISO's is het ermee eens dat werken op afstand zijn of haar organisatie kwetsbaarder heeft gemaakt voor gerichte cyberaanvallen. 53% zegt een toename van gerichte aanvallen te hebben gezien in de afgelopen twaalf maanden.
- Aanvallen met een hoog risico en een hoog rendement zullen de komende twee jaar waarschijnlijk veel voorkomen. 53% van de Nederlandse CISO's denkt dat cybercriminaliteit nog winstgevender zal worden voor aanvallers, terwijl 54% denkt dat het risicovoller zal worden voor cybercriminelen.
- CISO's zullen hun cybersecurity-strategie aanpassen om de voorsprong te behouden. Over het algemeen verwacht de meerderheid van de CISO's wereldwijd dat hun budget voor cybersecurity de komende twee jaar met 11% of meer zal toenemen. Daarnaast denkt 62% van de Nederlandse CISO's dat ze in 2023 beter bestand zullen zijn tegen cyberaanvallen en dat ze daar sneller van zullen herstellen. De top drie prioriteiten voor Nederlandse CISO's in de komende twee jaar zijn: het verbeteren van de belangrijkste security-controles (36%), het aanpakken van leveranciersrisico's (34%) en het verhogen van het cybersecurity-bewustzijn van werknemers (32%).
- In 2020 is de rol van de CISO belangrijker geworden en zijn de verwachtingen vanuit de business hoger geworden. 45% van de Nederlandse CISO's is het ermee eens dat de verwachtingen ten aanzien van hun functie buitensporig zijn. Gebrekkige steun vanuit de directiekamer blijft een probleem: slechts 21% van de Nederlandse CISO's is het eens met de opvatting dat de directie het met hem of haar eens is over cybersecurity-vraagstukken.
“De ‘goed genoeg’-aanpak van de afgelopen twaalf maanden zal op de lange termijn simpelweg niet werken. Het is onwaarschijnlijk dat bedrijven ooit terugkeren naar de manier van werken van voor de pandemie. Daarom is het advies om de cyberverdediging te versterken nog nooit zo dringend geweest”, zegt Ryan Kalember, Executive Vice President of Cybersecurity Strategy bij Proofpoint. “CISO's bekleden een bedrijfskritische functie, nu meer dan ooit. De bevindingen uit ons rapport benadrukken dat CISO's de juiste tools nodig hebben om risico's te beperken. Maar ook om een strategie te ontwikkelen waarbij een mensgerichte aanpak van cybersecurity centraal staat. Hierbij moet de nadruk liggen op bewustwordingstraining om tegemoet te komen aan de steeds veranderende omstandigheden, zoals organisaties tijdens de pandemie hebben ervaren.”
Het 2021 Voice of the CISO-rapport kan worden gedownload via: https://www.proofpoint.com/us/resources/white-papers/voice-of-the-ciso-report .
Meer informatie over Proofpoints unieke aanpak op het gebied van mensgerichte cybersecurity en compliance is beschikbaar via: https://www.proofpoint.com/us/why-proofpoint
Meer over
Lees ook
Europol waarschuwt voor gevaar van Apple en Google's standaard encryptie
Na de Amerikaanse ministerie van Justitie Eric Holder en FBI-directeur James Comey roept nu ook Troels Oerting, hoofd van het European Cybercrime Centre (EC3) van Europol, techbedrijven op opsporingsinstanties hun werk te laten doen. Oerting waarschuwt voor de implicaties die zware standaard encryptie kan opleveren bij het verzamelen van bewijsmat1
IT-beslissers hebben weinig vertrouwen perimeterbeveiliging
IT-beslissers in de Benelux hebben relatief weinig vertrouwen in perimeterbeveiliging. 57% van IT-beslissers in de Benelux (74% wereldwijd) gelooft dat perimeterbeveiliging effectief is in het buiten houden van bedreigingen. Zes op de tien (60%) respondenten in de Benelux (41% wereldwijd) gelooft echter dat ongeautoriseerde gebruikers in staat zij1
ICT-klanten geven meer prioriteit aan security, maar kennis en budget blijven achter
Klanten van ICT-bedrijven geven een hoge prioriteit aan security. De kennis en het budget van deze klanten blijft op dit gebied echter achter. Dit blijkt uit onderzoek van branchevereniging Nederland ICT onder haar leden. Onder andere CEO's, CFO's en security-experts van grote en kleine ICT-bedrijven deden mee aan het onderzoek. De uitkomsten van1