Proofpoint 2023 Voice of the CISO-rapport: Personeelsverloop verergert dataverlies

Proofpoint, een toonaangevend cybersecurity- en compliance-bedrijf, publiceert zijn jaarlijkse Voice of the CISO-rapport, waarin de belangrijkste uitdagingen, verwachtingen en prioriteiten van Chief Information Security Officers (CISO's) zijn onderzocht. 58% van de Nederlandse CISO's verwacht in de komende 12 maanden een cyberaanval op hun bedrijf. Dit percentage is aanzienlijk gestegen ten opzichte van vorig jaar, toen slechts 28% van de CISO’s zich zorgen maakte.

De huidige mate van angst doet denken aan 2021 toen 56% van de CISO's geloofde dat een cyberaanval onvermijdelijk was. Opvallend is dat CISO's zich ook minder voorbereid voelen om een gerichte cyberaanval het hoofd te bieden. Dit jaar voelt 59% van de CISO's zich onvoorbereid, terwijl dit vorig jaar nog 53% was. Hoewel dit een stijging is, is het nog steeds een verbetering ten opzichte van 2021, toen maar liefst 81% van de CISO's zich onvoorbereid voelde. 

Bedrijven wereldwijd hebben de chaos van de afgelopen twee jaar grotendeels overwonnen, maar de gevolgen van het personeelsverloop houden aan, verergerd door de recente golf van massaontslagen. 82% van de CISO's wereldwijd zegt dat vertrekkende werknemers een rol hebben gespeeld bij dataverlies. Hoewel 63% van de beveiligingsleiders in de afgelopen 12 maanden te maken heeft gehad met verlies van gevoelige informatie, is 60% van mening dat zij over voldoende databescherming beschikken. 

Het "2023 Voice of the CISO"-onderzoek is gebaseerd op enquêtes onder meer dan 1.600 CISO's bij middelgrote tot grote bedrijven wereldwijd in verschillende sectoren. In het eerste kwartaal van 2023 zijn per regio 100 CISO's ondervraagd in 16 landen: Nederland, VS, Canada, VK, Frankrijk, Duitsland, Italië, Spanje, Zweden, VAE, KSA, Australië, Japan, Singapore, Zuid-Korea en Brazilië. 

Het onderzoek bespreekt wereldwijde trends en regionale verschillen rond drie centrale thema's: de bedreigingen en risico's waarmee CISO's dagelijks worden geconfronteerd; de impact van werknemers op de cybersecurity van bedrijven; en de verdediging die CISO's opbouwen, vooral nu beveiligingsbudgetten onder druk komen te staan als gevolg van de economische crisis. Het onderzoek meet ook in hoeverre er overeenstemming is tussen beveiligingsleiders en hun directies en onderzoekt ook hoe hun relatie de beveiligingsprioriteiten beïnvloedt. 

“Veel CISO's zijn niet meer zo zeker als ze eerder waren, toen ze na de chaos van de pandemie dachten dat alles weer rustig zou worden. Nu ze terug zijn in de normale gang van zaken, hebben ze minder vertrouwen dat hun bedrijf zich tegen cyberrisico’s kan verdedigen,” aldus Andrew Rose, resident CISO bij Proofpoint. “Het 2023 Voice of the CISO-rapport laat zien dat het voor CISO's steeds moeilijker wordt om hun werknemers te beschermen en data te beveiligen. Daarnaast worden zij ook persoonlijk getest, met hogere verwachtingen, burnout en onzekerheid over persoonlijke aansprakelijkheid als gevolg. Gelukkig geeft de verbeterende relatie tussen beveiligingsleiders en bestuursleden ons hoop en zal deze samenwerking bedrijven helpen om de nieuwe uitdagingen van dit jaar en de jaren die volgen het hoofd te bieden.” 

De Nederlandse resultaten van Proofpoint's 2023 Voice of the CISO-rapport zijn onder andere: 

•  Het verlies van gevoelige data wordt verergerd door personeelsverloop: 41% van de Nederlandse beveiligingsleiders gaf aan de afgelopen 12 maanden te maken te hebben gehad met een verlies van gevoelige data, en daarvan was 80% het ermee eens dat het vertrek van werknemers uit het bedrijf heeft bijgedragen aan het verlies. Ondanks deze verliezen is 54% van de Nederlandse CISO's van mening dat zij voldoende maatregelen hebben om hun data te beschermen.  

• Smishing/vishing staat bovenaan de lijst van belangrijkste bedreigingen: de topbedreigingen die Nederlandse CISO’s noemen, zijn veranderd. Smishing/vishing staaat nu bovenaan, gevolgd door compromittering van cloudaccounts en e-mailfraude (business email compromise). Vorig jaar waren ransomware-aanvallen de grootste zorg, gevolgd door insider threats en supply chain attacks.  

• De meeste bedrijven zijn bereid losgeld te betalen als ze worden getroffen door ransomware: 53% van de Nederlandse CISO's denkt dat hun bedrijf zou betalen om systemen te herstellen en te voorkomen dat data wordt vrijgegeven als het in de komende 12 maanden wordt aangevallen door ransomware. En zij vertrouwen op verzekeringen om het risico op te vangen: 52% zegt dat zij een cyberverzekeringsclaim zouden indienen om verliezen opgelopen bij verschillende soorten aanvallen te verhalen.  

• Supply chain-risico is een terugkerende prioriteit: 58% van de Nederlandse CISO's zegt voldoende middelen te hebben om de risico's in de supply chain te beperken, een lichte stijging ten opzichte van de 55% van vorig jaar. Hoewel deze bescherming op dit moment voldoende lijkt, kunnen CISO's in de toekomst meer middelen tekortkomen. 53% zegt dat de wankele economie hun budget voor cybersecurity negatief heeft beïnvloed. 

• Menselijke fouten blijven een punt van zorg: een consistent aantal Nederlandse CISO's ziet menselijke fouten als de grootste cyberkwetsbaarheid voor hun bedrijf. 56% in het onderzoek van dit jaar versus 56% in 2022 en 46% in 2021. Enigszins consistent met voorgaande jaren gelooft 46% van de CISO's dat werknemers hun rol in het beschermen van het bedrijf begrijpen, tegenover 54% in 2022 en 55% in 2021; dit laat uitdagingen zien in het opbouwen van een sterke beveiligingscultuur. 

• CISO's en directies zitten iets meer op één lijn: 57% van de Nederlandse CISO's is het ermee eens dat hun bestuursleden het met hen eens zijn over cybersecurity-kwesties. Dit is een lichte stijging ten opzichte van de 55% van de CISO's die deze mening vorig jaar deelden en de 50% die er in 2021 zo over dacht.  

• De toenemende CISO-druk maakt de baan steeds onhoudbaarder: 52% van de Nederlandse CISO's vindt dat ze te maken hebben met onredelijke baanverwachtingen, een bescheiden stijging ten opzichte van de 49% van vorig jaar. Hoewel de terugkeer naar hun nieuwe realiteit één reden kan zijn, draagt de werkgerelateerde angst van CISO's hier waarschijnlijk ook aan bij. 55% maakt zich zorgen over persoonlijke aansprakelijkheid en 50% zegt de afgelopen 12 maanden een burn-out te hebben gehad.

"Beveiligingsleiders moeten standvastig blijven in het beschermen van hun mensen en data, een taak die steeds moeilijker wordt nu insiders een belangrijke veroorzaker van gevoelig dataverlies blijken te zijn," zegt Mark-Peter Mansveld, Vice President, Northern Europe, Middle East & Israel bij Proofpoint. "Als de recente aanvallen een indicatie zijn, staat CISO's een nog zwaardere taak te wachten, vooral gezien de onzekere beveiligingsbudgetten en de nieuwe werklast. Nu hun zorgen weer toenemen, moeten CISO's ervoor zorgen dat zij zich richten op de juiste prioriteiten om hun bedrijven in de richting van cyberweerbaarheid te bewegen." 

Het volledige Voice of the CISO 2023-onderzoek is hier te downloaden.  

Meer inzichten, onderzoek, trends, tools, evenementen en andere content voor CISO’s zijn hier terug te vinden.