Av de it-säkerhetschefer som känt press från styrelsen, säger 51 procent att det beror på att de framstår som repetitiva eller tjatiga och 42 procent att ledningsgruppen har missförstått deras rekommendationer. En tredjedel (27 procent) säger att de har blivit direkt avfärdade. Detta belyser en allvarlig trovärdighetsklyfta som hänger ihop med oförmågan att knyta samman cyberhot och affärsrisk. Faktum är att 39 procent uppger att när de har kunnat mäta affärsvärdet av sin cybersäkerhetsstrategi har de setts på med större trovärdighet.
Detta har inneburit flera fördelar för it-säkerhetscheferna, bland annat:
- Anses vara en mer värdefull tillgång (43 procent)
- Ökad budget (39 procent)
- Ökat ansvar (36 procent)
- Deltagande i högre nivåer av beslutsfattande (34 procent)
Ändå finns det fortfarande en tydlig kommunikationsklyfta mellan it- och ledningsgrupper.
Knappt hälften av de tillfrågade (44 procent) är övertygade om att deras ledningsgrupp helt förstår cyberriskerna som organisationen står inför. Över en tredjedel av de tillfrågade (34 procent) säger att cybersäkerhet fortfarande behandlas som en del av it snarare än en affärsrisk. Dessutom svarar 46 procent att det skulle krävas ett allvarligt intrång för att styrelsen ska agera mer beslutsamt när det gäller cybersäkerheten.
– Mer än varannan it-säkerhetschef säger att cyberhot är deras största affärsrisk, men man misslyckas ofta med att kommunicera risken i ett språk som styrelsen förstår, säger Martin Fribrock, Sverigechef på Trend Micro. Som ett resultat ignoreras problemet och it-säkerhetscheferna förringas samt anklagas för att tjata. Om de inte kan samarbeta bättre med det seniora ledarskapet i styrelserummen, kommer företagens motståndskraft mot cyberhot att bli lidande. Det första steget för framgång är att skapa en gemensam källa till sanning över attackytan.
Den heterogena cybersäkerhetsmiljön kan förvärra dessa utmaningar. En avsaknad av heltäckande säkerhetslösningar skapar inkonsekventa datapunkter, vilket kan göra det svårt att redovisa en tydlig bild av organisationens verkliga cyberrisker för styrelsen.
Mer än hälften av de tillfrågade (56 procent) tror att de kommer att behöva en ökad kommunikationskompetens gällande it för att få ordning på situationen. En enhetlig plattform för Attack Surface Risk Management (ASRM) skulle dock kunna eliminera behovet av sådana omfattande investeringar genom att leverera en konsekvent och trovärdig insikt i organisationens säkerhetsstatus.