"Gebrek aan afstemming tussen beveiligingsteams en de C-suite stelt organisaties in de Benelux bloot aan meer cyberrisico’s"

Dynatrace, leider op het gebied van unified observability en beveiliging, onthult dat een gebrek aan afstemming tussen de directie en beveiligingsteams organisaties blootstelt aan een verhoogd cyberrisico. Het ‘State of C-level engagement in application security 2024’ rapport laat zien dat organisaties worstelen met interne communicatie en dat dat het vermogen om cyberdreigingen te bestrijden belemmert. De resultaten geven aan dat CISO’s het moeilijk vinden om beveiligingsteams en de C-suite op één lijn te krijgen, waardoor er gaten vallen in het begrip van cyberrisico’s. Als gevolg hiervan staan ze vaker blootgesteld aan geavanceerde cyberdreigingen, in een tijd waarin AI-gedreven aanvallen toenemen.

Dynatrace onderzocht de kloof in communicatie om beter te begrijpen hoe een uniforme benadering van observability beveiligingsteams kan helpen met effectievere samenwerking en het verkleinen van risico’s.

Belangrijkste bevindingen:

• Gebrek aan afstemming leidt tot cyberrisico’s: CISO's hebben moeite om de afstemming tussen beveiligingsteams en de C-suite te bevorderen, waardoor organisaties meer cyberrisico lopen. Uit het rapport blijkt ook dat 82% van de CISO’s in de Benelux vinden dat applicatiebeveiliging een blinde vlek is voor de directie.
• Beveiligingsteams zijn te technisch: een grote groep ondervraagde C-suite executives zeggen dat beveiligingsteams in technische termen praten zonder zakelijke context te bieden. Maar liefst 82% van de CISO’s in de Benelux benadrukt echter dat het probleem in beveiligingstools zit die geen inzichten kunnen bieden die C-level executives kunnen gebruiken om risico’s te begrijpen en cyberincidenten te voorkomen.
• AI drijft meer geavanceerde cyberdreigingen: het bestrijden van deze technologische en communicatieve kloof wordt steeds belangrijker nu de opkomst van AI-gedreven aanvallen en geavanceerde cyberdreigingen de risico’s aanzienlijk verhogen.

Tegen deze achtergrond zegt bijna driekwart (76%) van de CISO’s in de Benelux dat hun organisatie de afgelopen twee jaar te maken heeft gehad met een applicatiebeveiligingsincident. Deze incidenten brengen grote risico’s met zich mee. CISO's wijzen op de gevolgen die ze hebben ondervonden, zoals inkomstenderving, boetes en verlies van marktaandeel.

“Cyberincidenten hebben verwoestende gevolgen voor organisaties en hun klanten, dus het onderwerp is terecht een kritiek punt van zorg geworden op bestuursniveau,” zegt Bernd Greifeneder, Chief Technology Officer bij Dynatrace. “Veel CISO’s worstelen met de afstemming tussen beveiligingsteams en senior executives, omdat ze niet in staat zijn het gesprek van bits en bytes naar specifieke bedrijfsrisico’s te vertalen. CISO’s moeten snel een manier vinden om deze barrière te overwinnen en voor een cultuur van gedeelde verantwoordelijkheid voor cyberbeveiliging te zorgen. Dit is erg belangrijk om effectief te kunnen reageren op beveiligingsincidenten en het minimaliseren van de blootstelling aan cyberrisico’s.”

Aanvullende bevindingen:

• Een nauwere betrokkenheid tussen beveiligingsteams en de C-suite wordt steeds belangrijker nu de opkomst van AI organisaties blootstelt aan extra risico's. CISO's maken zich zorgen over het potentieel van AI dat cybercriminelen in staat stelt sneller nieuwe exploits te creëren en deze op brede schaal uit te voeren. Ze maken zich ook zorgen over het potentieel van AI om ontwikkelaars sneller software te laten leveren met minder toezicht, wat tot meer kwetsbaarheden leidt.
• Aanvullend zegt 72% van de CISO's in de Benelux dat DevSecOps-automatisering belangrijker is om het risico op kwetsbaarheden die door AI worden geïntroduceerd te beheersen. DevSecOps-automatisering moet ervoor zorgen dat er redelijke maatregelen zijn genomen om de beveiligingsrisico's van applicaties te minimaliseren. Toch geeft slechts 2% van de CISO’s in de Benelux aan dat hun organisatie een volwassen DevSecOps-automatiseringsbeleid heeft.
• Nog eens 72% van de CISO's in de Benelux zegt dat de behoefte aan meerdere applicatiebeveiligingstools leidt tot operationele inefficiëntie vanwege de inspanning die nodig is om de verschillende gegevensbronnen te begrijpen.
• Een ander belangrijk punt is het voldoen aan nieuwe wetgeving, zoals NIS2 en DORA. 84% van de CISO’s in de Benelux zegt dat DevSecOps-automatisering absoluut essentieel is om te kunnen voldoen aan nieuwe en opkomende wetgeving.

“Het toenemende gebruik van AI levert efficiëntiewinst op voor zowel digitale innovators als degenen die hun verdediging willen doorbreken, maar heeft ook schaduwzijden”, vervolgt Greifeneder. “Aan de ene kant is er een groter risico dat ontwikkelaars kwetsbaarheden introduceren door AI-gegenereerde code die onvoldoende is getest, en aan de andere kant ontwikkelen cybercriminelen ook meer geautomatiseerde en geavanceerde aanvallen om deze kwetsbaarheden uit te buiten. Bovendien moeten organisaties voldoen aan nieuwe regelgeving. Organisaties moeten hun beveiligingstools en -handelingen dringend moderniseren om hun applicaties en data te beschermen tegen moderne, geavanceerde cyberdreigingen. De meest effectieve aanpak wordt gebouwd op een uniform platform dat volwassen DevSecOps-automatisering stimuleert en AI inzet die om kan gaan met gedistribueerde data op elke schaal. Deze platformen bieden inzichten waar het hele bedrijf achter kan staan en die gebruikt worden om compliance met strenge regelgeving aan te tonen.”

Het rapport, ‘State of C-level engagement in application security 2024’, is gebaseerd op een wereldwijd onderzoek onder 1.300 CISO’s, waaronder 50 uit de Benelux, en tien interviews met CEO’s en CFO’s in ondernemingen met meer dan 1.000 werknemers.

Het onderzoek is uitgevoerd in opdracht van Dynatrace door Coleman Parkes tussen maart en april 2024 en kan hier worden gedownload.