Vier op de tien Raden van Bestuur beschikken in 2025 over een toegespitst security-comité. Dit percentage ligt momenteel op minder dan 10%.
Dit voorspelt Gartner. Het is een van de organisatorische veranderingen die Gartner verwacht te gaan zien in Raden van Bestuur, binnen het management en bij security-teams. De veranderingen zijn een reactie op de toenemende digitale voetafdruk van organisaties tijdens de pandemie, wat ook extra risico’s met zich meebrengt.
Security-problemen zijn groot risico
Uit het Gartner 2020 Board of Directors Survey blijkt dat cybersecurity-gerelateerde risico’s als een na grootste risico worden gezien voor bedrijven. Alleen compliance-risico’s vormen volgens respondenten een groter risico. Met het oog hierop is het opvallend dat tegelijkertijd maar weinig managers van mening zijn dat hun organisaties afdoende beschermd is tegen een cyberaanval.
“Om zeker te stellen dat cyberrisico’s de aandacht krijgen die zij verdienen vormen veel Raden van Bestuur toegespitste comités op die op vertrouwelijke manier kunnen discussiëren over security-gerelateerde zaken, onder leiding van iemand die hiervoor gekwalificeerd is”, legt Sam Olyaei, onderzoeksdirecteur bij Gartner, uit. “Deze verandering in goverance en toezicht heeft naar verwachting ook impact op de relatie tussen de raad en de Chief Information Security Officer (CISO).”
Meer steun en middelen
Hoewel CISO’s door de wijzigingen wellicht meer onder het vergrootglas komen te liggen, kunnen zij volgens Gartner ook meer steun en middelen verwachten. Gartner voorspelt ook dat 60% van de CISO’s nauwe samenwerkingen aangaan met managers op het gebied van sales, finance en marketing. Op dit moment ligt dat percentage op 20%.
“Effectieve CISO’s realiseren zich dat het hoofd sales, marketingleiders en managers van business units sleutelpartners zijn naarmate het gebruik van technologie, en daarmee het hieraan verbonden risico, steeds vaker buiten IT valt”, aldus Olyaei. Op basis van zijn CISO Effectiveness Index voorspelt Gartner dat de best presterende CISO’s drie keer vaker overleggen met stakeholders die niet aan IT-gerelateerd zijn dan met stakeholders die dat wel zijn. Ook hebben zij vaker overleg dan minder goed presterende CISO’s.
Cyber-fysieke systemen
Voor asset-intensieve bedrijven zoals utiliteitsbedrijven, maakbedrijven en transportnetwerken zijn cyberdreigingen die zich richten op cyber-fysieke systemen een toenemend risico. Gartner wijst onder meer op de toenemende hoeveelheid ransomware gericht op operationele systemen van organisaties en recente aanvallen via de leveranciersketen van bedrijven.
Gartner wijst er ook op dat veel huidige security-disciplines in silo’s zijn ondergebracht, wat risico’s met zich meebrengt. De IT-centrische focus van veel securityteams moet dan ook worden uitgebreid naar dreigingen in de fysieke wereld, stelt Gartner. Het onderzoeksbureau voorspelt dat in 2025 de helft van alle asset-intensieve organisaties hun security-teams voor digitale dreigingen, fysieke dreigingen en dreigingen in de leveranciersketen onder één chief security officer (CSO) zullen onderbrengen. Deze CSO rapporteert direct aan de CEO.
Het juiste personeel aantrekken
Uit onderzoek van Gartner – uitgevoerd vooraf aan de COVID-19 pandemie – blijkt dat 61% van de organisaties moeite heeft geschikte security professionals te vinden en in te huren. “Naarmate organisaties verschuiven naar werken op afstand in reactie op de pandemie blijkt dat sommige – en wellicht alle – securitymogelijkheden op afstand kunnen worden geleverd”, aldus Richard Addiscott, senior research director bij Gartner. “Dit omvat security monitoring/operations, beleidsontwikkeling, security governance en rapportages, security awareness en incident response via gespreide teams. Cybersecurity teams kunnen op afstand werken en nog steeds effectieve mogelijkheden bieden.”
Gartner voorspelt op basis hiervan dat binnen dertig procent van de security teams in 2022 meer werknemers permanent vanuit huis werken. Ook adviseert Gartner security professionals niet alleen in de eigen geografische regio te zoeken, maar ook daarbuiten.