Endast 13 procent av styrelseledamöter känner att deras organisationer lär sig av tidigare misstag inom cybersäkerhet

En undersökning gjord av Global Economist Intelligence Unit, sponsrad av Willis Towers Watson, visar att styrelser inte är övertygade om att de drar nytta av lärdomar från tidigare cyberattacker 

Majoriteten av chefer runt om i världen känner att deras organisationer kan bli bättre på att lära av sina tidigare misstag inom cybersäkerhet, enligt resultaten av en nyligen offentliggjord global undersökning som genomförts av The Economist Intelligence Unit (EIU) och Willis Towers Watson. EIU undersökte över 450 företag över hela världen och kartlade de strategier och de utmaningar som dessa företag står inför för när det kommer till att bygga upp sina organisationers motståndskraft mot cyberattacker. Medan de flesta organisationer anser sig göra ett bra jobb vid incidenter, var det endast tretton procent som upplevde att deras organisationer var över genomsnittet när det kommer till att integrera lärdomar från incidenter i sina strategier för att öka motståndskraften mot cyberattacker.

Undersökningen påvisade en oenighet mellan styrelser och chefer i hur motståndskraft mot cyberattacker bör planeras, samt hur dessa strategier sedan ska integreras i organisationen, allokering av resurser och vilka områden inom organisationen som är mest utsatta. Uppdelningen gällande cyberberedskap mellan geografiska områden var också uppenbar, där nordamerikanska företag står i stark kontrast mot likvärdiga företag i Asien och till viss del EU, i frågor som vilka förväntningar som finns på frekvenser och effekter av cyberattacker, samt vilket förtroende som finns för organisationernas förmåga att återhämta sig efter en cyberattack. Intressant nog visade undersökningen att av de fyra regionerna där den genomförts (Nordamerika, Storbritannien, Europa och Asien) hade Storbritannien den högsta upplevda motståndsförmågan mot cyberattacker på 21 %.

Några andra viktiga insikter som kommer fram i rapporten är:

• Den genomsnittliga utgiften för att finansiera cyberberedskap var cirka 1,7 procent av intäkterna, vilket 96 procent av styrelseledamöterna anser vara otillräckligt.
• Nordamerika spenderade mest på cyberberedskap som en procent av intäkterna (2-3%), medan de övriga regionerna spenderade mellan 1-2% eller mindre
• Bland ledande befattningshavare finns det lite samförstånd om hur man fördelar cyberbudgetar - men liknande svar gavs gällande "teknik för att stärka cyber-försvar" och "förvärv av IT-talang, kompetensutbildning / utveckling"
• 3 av de 4 regionerna anser att "styrelsen som helhet" bör övervaka cyberrisker, medan Europa inte håller med om det utan istället anser att det ska vara en dedikerad cybergrupp.

"Det är viktigt för företagen att förstå att motståndskraft mot cyberattacker är ett företagsövergripande ansvar som inte bör begränsas till vissa roller eller funktioner", säger Anthony Dagostino, global chef för cyberrisker på Willis Towers Watson. "Styrelserna bör betona behovet av ett strategiskt ramverk och C-Suite bör sätta tonen i sina organisationer genom att ge nyckelfunktioner, såsom IT, Risk, HR, legal och compliance mandat och möjligheter att driva en integrerad strategi för riskhantering och resiliency. Medan tekniken kommer att förbli ett avgörande försvar, är mer än hälften av alla cyberhändelser beroende av de anställdas beteende och avsaknad av kompetens inom cybersecurity. Så att investera i andra områden som HR-lösningar och cyberförsäkring måste bli en del av vanliga styrelsens och C-Suites konversationer”.

Kristoffer Haleen, Cyber Practice Leader för Willis Towers Watson i Norden, kommenterar: "Denna rapport ligger helt i linje med våra diskussioner med skandinaviska styrelseledamöter och chefer. Det finns ibland en tro på att ny teknik och IT-avdelningar är tillräckliga för att motverka cyberrelaterade hot, men när diskussionerna utvecklas blir det klart för alla att detta är ett problem relaterat till människor mer än ett tekniskt problem. Hela organisationen behöver utbildas, informeras och tränas för att vara motståndskraftig. Och det räcker bara för att hantera de kända sårbarheterna. Vad vi behöver göra är att börja ta itu med de okända sårbarheterna, för det är de som kommer att påverka oss imorgon, nästa månad eller nästa år. Vi måste vara proaktiva snarare än reaktiva."

Mer information om undersökningen finns i den bifogade rapporten.