Uit de resultaten van het laatste 2012 Cargenie Mellon CyLab Governance onderzoek blijkt dat cyberrisico's nog onvoldoende aandacht krijgen van de top van organisaties. Het onderzoek wordt gesponsord door RSA, de security-divisie van EMC. Bovendien blijkt uit vergelijkingen met gegevens uit 2008 en 2010 dat er nog steeds gaten zijn in governance. Art Coviello, Executive Chairman van RSA, doet een beroep op de industrie om traditionele beveiligingsmethoden te heroverwegen. Daarnaast raadt hij betrokken partijen aan beveiligingsstrategieën te verbeteren en samen te werken om nieuwe methodes voor informatiebeveiliging te ontwikkelen.

Met behulp van de Forbes Global 2000-lijst is een analyse gemaakt die de houding ten opzichte van cybercrime van het bestuur van grote organisaties over de hele wereld in kaart brengt. Een van de belangrijkste bevindingen is dat bestuur en seniormanagement zich nog niet bezighoudt met belangrijke toezichthoudende activiteiten. Voorbeelden daarvan zijn het opzetten van een top-level beleid en het veiligstellen van privacy- en security-budgetten voor een optimale bescherming tegen cyberaanvallen en het inperken van financiële verliezen. Ook al is er een aantal verbeteringen zichtbaar in reguliere governance-toepassingen; ruim 75 procent geeft aan dat hun bestuur en senior management nog geen basisverantwoordelijkheden neemt met betrekking tot cyber governance.

Hoewel de samenstelling van Risico Comités en overlappende teams binnen organisaties zijn verbeterd, geeft bijna de helft van de respondenten aan dat hun organisatie geen fulltime personeel in dienst heeft voor de belangrijkste privacy- en veiligheidsrollen. Daarnaast zegt 58 procent dat het bestuur niet de verzekering checkt of het bedrijf gedekt is voor eventuele cyberrisico's.

Aanbevelingen
Om het algemeen bestuur te helpen de corporate governance van privacy en veiligheid te verbeteren, is er een aantal aanbevelingen in het onderzoeksrapport opgenomen:

Bepaal het niveau voor privacy en veiligheid door middel van een top-level beleid.
Definieer en beoordeel rollen en verantwoordelijkheden voor privacy en veiligheid en zorg ervoor dat ze worden toegewezen aan gekwalificeerde, fulltime professionals. Bovendien moeten risico en verantwoordelijkheid worden gedeeld met de hele organisatie.
Zorg voor regelmatige informatiestroom naar het senior management en het bestuur over privacy en veiligheidsrisico's, waaronder cyberincidenten en -aanvallen.
Controleer de jaarlijkse IT-budgetten voor privacy en veiligheid, los van de budgetten van CIO's.
Voer jaarlijkse evaluaties uit van het enterprise security-programma en efficiëntie van controles. Noteer de bevindingen en zorg ervoor dat gaten en tekortkomingen worden aangepakt.
Weeg de verzekeringsdekking af tegen het risicoprofiel van de organisatie. Is het gedekt tegen mogelijke cyberincidenten?  
"Nieuwe generaties cybercriminelen en hackers zijn experts geworden in het uitbuiten van de zwakke plekken van onze digitale wereld terwijl onze klanten er nu juist de waarde van inzien", zegt Coviello. "Met toegenomen snelheid, flexibiliteit en sluwheid, profiteren aanvallers van de gaten in de beveiliging als gevolg van open en verbonden infrastructuren en de trage reactie van de industrie op opkomende dreigingen."

Coviello adviseert de industrie om de volgende acties te ondernemen:

De manier waarop we denken over security veranderen.
We moeten erkennen dat 'perimeter-based aanvallen' en 'signature-based technologieën' niet meer nieuw zijn en accepteren dat ze onze netwerken binnendringen. We moeten hierdoor niet meer worden verrast.
Overgang naar slimme beveiligingssystemen.
Organisaties moeten beter werk verrichten bij de evaluatie van risico's van binnen naar buiten en van buiten naar binnen. Hiervoor is een combinatie van een brede en diepe kennis van materiële aanwinsten en interne omgevingen met een breed scala aan externe intelligente bronnen nodig.
Samenwerken en informatie delen.
Omdat het voor iedereen van belang is, moet de IT-industrie beter samenwerken en collectieve kennis delen.
Een nieuwe generatie security-analisten trainen om de toenemende stroom van geavanceerde aanvallen te bestrijden.
Deze nieuwe generatie moet beschikken over analytische en intelligente vaardigheden. Daarnaast is het belangrijk dat de analist het grote plaatje ziet, sociale vaardigheden heeft, ook focust op aanvallen (niet alleen op de verdediging) en snel en nauwkeurig kan reageren.