Diligent ve Bitsight tarafından hazırlanan yeni bir rapora göre, gelişmiş siber güvenlik performansı sergileyen şirketler, temel siber güvenlik performansına sahip emsallerine göre %372 daha yüksek bir hissedar getirisi elde ediyor.
Yönetim kurulları siber denetimi güçlendirme konusunda baskı altında
Siber olayların sıklığı ve ciddiyetindeki artış, siber riski yönetim kurullarının karşılaştığı en önemli zorluklardan biri olarak konumlandırıyor. Siber tehditlerin giderek daha karmaşık ve yaygın hale gelmesiyle birlikte yönetim kurulları, kuruluşlarının çıkarlarını korumak amacıyla siber güvenlik risklerini etkili bir şekilde ele alma konusunda baskı altındadır.
Veri ihlallerinden kaynaklanan tahmini mali kayıpların 2025 yılına kadar yaklaşık 10,5 trilyon ABD dolarına ulaşacağı tahmin ediliyor ve SEC gibi düzenleyicilerden gelen yeni baskılar nedeniyle, yönetim kurulunun gözetim rolü daha da önemli hale geliyor. Yönetim kurulları, siber riski azaltmak ve kuruluşlarının mali sağlığını ve itibarını korumak için güçlü gözetim mekanizmalarına öncelik veriyor.
Ancak yönetim kurullarının siber riski ele almak için benimsediği yaklaşımlar farklılık gösteriyor ve bu da farklı yönetim kurulu yönetişim yapılarının ve stratejilerinin etkinliği hakkında sorulara yol açıyor.
Rapor ayrıca, sağlık hizmetleri ve finansal hizmetler gibi sıkı düzenlemeye tabi sektörlerin en yüksek siber güvenlik derecelendirmelerine sahip olduğunu ve uzman risk komitesi veya denetim komitesi olan şirketlerin, sırasıyla 710 ve 650 puanlarla, her ikisine de sahip olmayan şirketlere kıyasla daha iyi siber güvenlik performansı elde ettiğini ortaya koyuyor. .
“Bu bulgular, siber güvenliğin yalnızca bir BT sorunu olmadığını, bir şirketin yakın vadeli performansı ve uzun vadeli sağlığı üzerinde önemli etkisi olan bir kurumsal risk olduğunu ve yönetimin ve yönetim kurulunun bu konu hakkında güncel bilgi sahibi olması gerektiğini gösteriyor. ” dedi Diligent Enstitüsü İcra Direktörü Dottie Schindlinger. “Düzenleyicilerin kuruluşlara siber güvenliği nasıl denetlediklerini göstermeleri yönünde artan baskıyla birlikte, artık yönetim kurullarının ve liderlerin siber risk konusundaki yetkinliklerini geliştirmelerinin zamanı geldi.”
“Siber güvenlik artık sadece riski azaltmakla ilgili değil, artık finansal performansın önemli bir göstergesi. Şirketler siber güvenliği, net, iddialı ölçütlerle yönlendirilen ve yönetim kurullarının tam desteğiyle desteklenen iş stratejilerinin temel taşı olarak ele almalıdır,” diye ekledi AKnowledge Partners CEO'su, Banco Santander ve Landstar Yönetim Kurulu Üyesi Dr. Homaira Akbari Sistem ve Bitsight Danışma Kurulu üyesi.
Güvenlik derecelendirmesi ve finansal performans
Gelişmiş güvenlik derecelendirmesine sahip şirketler, hissedarlar için temel güvenlik derecelendirmesine sahip şirketlere göre neredeyse dört kat daha fazla değer yaratıyor.
Beş yıllık ve üç yıllık dönemde gelişmiş güvenlik performansı derecelendirmesine sahip şirketlerin ortalama toplam hissedar getirisi (TSR) sırasıyla %71 ve %67 olurken, temel performans aralığındaki şirketler 2019 yılı boyunca %37 ve %14 TSR sağladı. aynı zaman dilimleri.
Daha fazla sayıda bağımsız yöneticiye sahip şirketlerin gelişmiş güvenlik derecelendirmelerine sahip olma olasılığı daha yüksektir. Gelişmiş güvenlik derecelendirmesine sahip bu şirketlerin yönetim kurullarındaki yöneticilerin yaklaşık %76'sı bağımsızdır; temel güvenlik performansı kategorisinde ise bu oran %66'dır.
Uzmanlaşmış risk veya denetim komiteleri siber güvenlik performansını artırır
Uzmanlaşmış risk komitelerine sahip şirketlerin ortalama siber güvenlik puanı 730 iken, yalnızca denetim komitelerine sahip şirketlerin 720 olması, denetim komitesinin siber riski denetleme becerisinde uzmanlaşmış risk komitesine kıyasla önemli bir fark olmadığını gösteriyor.
Genel kurulda bir siber güvenlik uzmanının bulunması yeterli değildir; bu uzmanların doğrudan siber gözetime dahil olmaları gerekir. Denetim veya uzman risk komitelerinde siber güvenlik uzmanları bulunan şirketler ortalama 700 güvenlik performans puanı alırken, genel kurulda siber güvenlik uzmanları bulunan ancak her iki komitede bulunmayan şirketler 580 güvenlik puanına ulaşıyor.
Yüksek düzeyde düzenlemeye tabi sektörler, diğerlerine kıyasla siber güvenlik konusunda öne çıkıyor
Genel olarak en yüksek ortalama güvenlik puanı 730 ile sağlık sektörü oldu. Gelişmiş güvenlik performansı puanına sahip şirketlerin %33'ü, ortalama 720 puanla finansal hizmetler sektöründen geldi.
Karşılaştırıldığında, temel güvenlik performansı derecelendirmesine sahip şirketlerin %24'ü sanayi sektöründen geliyor ve en düşük genel performans derecelendirmesine sahip sektör ise 630 puanla iletişim sektörü oldu.
Bitsight Risk Direktörü Derek Vadala, “Araştırma, siber risk yönetimine öncelik veren pazar lideri şirketlerin emsallerinden daha iyi performans gösterdiğini gösteriyor” dedi. “Bu, siber güvenlik performansı konusunda güçlü bir anlayışa sahip olmadan ve yönetim ekibi ile yönetim kurulu arasında paylaşılan net kriterler olmadan başarılamaz. CISO'nun rolü değişti. Siber risk, iş performansının önemli bir bileşenidir.”