Risk yönetimi uzmanlarının hazırladığı bir rapora göre, siber güvenlik uygulamalarını ileri düzeyde “yapan” kuruluşlar, hissedarları için daha temel düzeyde performans sergileyen kuruluşlara kıyasla %372 daha yüksek getiri elde ediyor, özellikle de yönetim kurulu üyelerinin konulara dahil olması durumunda. Çalışkan ve Bitsight.
Çalışma – Siber güvenlik, denetim ve yönetim kurulu – dünyanın dört bir yanından kamu endekslerinde yer alan 4.000 orta ve büyük ölçekli şirketten toplanan yanıtlar analiz edildi. Beş yıllık ve üç yıllık dönemde ileri düzey siber performans gösterenlerin ortalama toplam hissedar getirisinin (TSR) sırasıyla %71 ve %67 olduğunu, temel performans aralığındakilerin ise aynı oranda %37 ve %14 TSR sağladığını tespit etti. zaman dilimleri.
“Siber güvenlik yalnızca bir BT sorunu değil; bir şirketin yakın vadeli performansı ve uzun vadeli sağlığı üzerinde önemli etkisi olan ve yönetimin ve yönetim kurulunun bu konuda bilgilendirilmesi gereken bir kurumsal risktir” dedi. Keith Fenner, Diligent'in EMEA kıdemli başkan yardımcısı ve genel müdürü.
“Birleşik Krallık'taki siber güvenlik tehdidi ve yönetişim ortamları daha sofistike ve karmaşık hale gelirken, artık yönetim kurullarının ve liderlerin siber risk konusundaki yetkinliklerini geliştirmelerinin zamanı geldi.”
Aynı zamanda BT danışmanlığı AKnowledge Partners'ın CEO'su olan Bitsight danışma kurulu üyesi Homaira Akbari şunları ekledi: “Siber güvenlik artık sadece riski azaltmakla ilgili değil, artık finansal performansın önemli bir göstergesi. Şirketler siber güvenliği, açık ve iddialı kriterlerin rehberliğinde ve yönetim kurullarının tam desteğiyle desteklenen iş stratejilerinin temel taşı olarak ele almalıdır.”
Raporun ortak yazarları ayrıca, daha fazla bağımsız yöneticiye sahip kuruluşların gelişmiş güvenlik derecelendirmelerine sahip olma ihtimalinin daha yüksek olduğunu da buldu; bu tür kuruluşların yönetim kurullarındaki yöneticilerin %76'sı bağımsız kabul edilirken, temel performans kategorisindekilerde bu oran %66'ydı. Bununla birlikte, ankete katılan Birleşik Krallık'taki kuruluşların yalnızca %3'ü yönetim kurullarında bir siber güvenlik uzmanının bulunduğunu söyledi ve bu da onların tek başına varlığının sıklıkla sunulduğu gibi her derde deva olmadığını öne sürdü.
Derek Vadala, Bitsight
Ancak daha iyi performans gösterenler yalnızca daha fazla yönetim kurulu üyesine sahip değildi; uzman denetim komiteleri ve uzman risk komiteleri kurmak için zaman ve para harcayanlar da daha iyi performans gösterme eğilimindeydi. Birleşik Krallık'ta, FTSE 100 ve 250'de listelenen kuruluşların %48'inde uzmanlaşmış bir risk komitesi bulunurken, FTSE 350 şirketlerinin %100'ünde düzenleyici gerekliliklere uygun olarak bir denetim komitesi bulunur. Raporda, risk veya denetim komitelerinde siber güvenlik uzmanı bulunan kuruluşların da daha yüksek düzeyde güvenlik performansı elde ettiği belirtildi.
Rapor aynı zamanda yüksek performanslı kuruluşlar ile sektörlerinin yüksek düzeyde düzenlemeye tabi olup olmadığı arasında da önemli bir korelasyon buldu. Sağlık sektörünün en yüksek ortalama güvenlik performansı derecelendirmesine sahip olduğu kanıtlandı ve gelişmiş güvenlik performansı derecelendirmelerine ulaşan şirketlerin üçte biri finansal hizmetler sektöründe faaliyet gösterdi. Buna karşılık, temel performans derecelendirmesine sahip olanların %24'ü sanayi sektöründe faaliyet gösteriyordu ve iletişim uzmanları da daha az iyi performans gösterme eğilimindeydi.
Bitsight'ın baş risk sorumlusu Derek Vadala, “Araştırma, siber risk yönetimine öncelik veren pazar lideri şirketlerin emsallerinden daha iyi performans gösterdiğini gösteriyor” dedi. “Bu, siber güvenlik performansının güçlü bir şekilde anlaşılması ve yönetim ekibi ile yönetim kurulu arasında paylaşılan net ölçütler olmadan başarılamaz. CISO'nun rolü değişti. Siber risk, iş performansının önemli bir bileşenidir.”