Видео: Как мы теряем и зарабатываем деньги? (Октября 2024)
Когда дело доходит до безопасности, руководители не имеют ни малейшего представления о том, что происходит внутри их организаций. Так, на этой неделе был опубликован отчет Института Ponemon, в котором рассматривалось, как организации готовились к инцидентам безопасности и реагировали на них. Колоссальные 80 процентов респондентов заявили, что они «не часто общаются» с руководством компании о потенциальных кибератаках, угрожающих организации. Это распространяется не только на генерального директора, но и на весь C-suite (CIO, CSO, COO, CTO и т. Д.).
Удивительно, что «информация просто не доходит до C-suite», - сказал Майк Поттс, президент и главный исполнительный директор Lancope, Security Watch. «Мы постоянно говорим об этом», - добавил он.
По словам Ланкопа, который заказал исследование, компании тратят миллионы долларов на продукты и услуги в области безопасности и продолжают нарушаться. Фактически, по словам Гартнера, в 2013 году на продукты ИТ-безопасности во всем мире было потрачено 67 миллиардов долларов. Тем не менее, компании ежегодно крадут интеллектуальную собственность на 250 миллиардов долларов. Где разъединение?
Нет регулярных обновлений
Многие руководители могут посмотреть на все расходы на безопасность и подумать: «Я получил все эти вещи, все готово», - сказал Поттс. Если они не получают регулярные обновления и информацию об общем состоянии безопасности организации, то нет оснований пересматривать это представление. Но это не так, как должно быть. «Текущий сценарий не« поставил и забудь », - сказал Поттс.
В то время как опрос не спрашивал, почему ИТ-персонал не поднимал проблемы с C-suite, Поттс предположил, что проблема может быть связана с тем, как безопасность измеряется в организации. Половина респондентов ответили, что у них нет метрик для измерения эффективности их возможностей реагирования на инциденты. Это означает, что они не могут перевести угрозы и проблемы на язык, с которым старшие руководители - озабоченные общим бизнесом - могут понять или работать с ним.
По словам Поттса, весьма вероятно, что даже если бы дискуссии о безопасности состоялись, руководители получали очень «смягченную» версию проблем.
«Сейчас настало время для руководителей C-уровня и лиц, принимающих решения в области ИТ, собраться вместе и разработать более прочные, более всесторонние планы реагирования на инциденты. Это общение имеет решающее значение, если мы хотим сократить поразительную частоту громких утечек данных и нанесения ущерба корпоративным потери мы видим в средствах массовой информации почти ежедневно ", сказал Поттс.
Деньги имеют значение
Часть проблемы - проблема инвестиций. Половина респондентов в опросе указали, что менее 10 процентов их общего бюджета безопасности предназначено для реагирования на инциденты, и, несмотря на растущие темпы атак и угроз, большинство заявили, что не увеличивали это распределение в последние два года.
Это имеет смысл. Если руководители уровня С не осознают, что такое риски и угрозы, они не будут расставлять приоритеты в бюджете. Если руководители знают, что потенциальные потери или ущерб будут довольно значительными, они могут действовать соответствующим образом, чтобы сократить этот разрыв. Руководители должны «иметь правильную информацию, чтобы сделать правильные инвестиции», - сказал Поттс.
Нужно изменить
Около 68 процентов респондентов заявили, что в их организациях произошла утечка данных или какой-либо другой инцидент безопасности за последние два года. Из этой группы почти половина, или 46 процентов респондентов, сказали, что другой инцидент был «неизбежным» и мог произойти в течение следующих шести месяцев. Это серьезно, и ясно, что C-suite должен быть заинтересован и работать с ИТ, чтобы убедиться, что предпринимаются необходимые шаги, верно?
Не согласно опросу, потому что большинство из 674 ИТ-специалистов и специалистов по безопасности, участвовавших в опросе, заявили, что не обостряют эти проблемы и не сообщают старшим руководителям о том, что надвигается. Заставляет вас задуматься о том, что знает генеральный директор Target до того, как его бросили в центр внимания всей страны и попросили обсудить нарушение, не так ли?
Поттс надеялся, что утечка данных в Target и других ритейлерах послужит сигналом тревоги для других. Возможно, Target изменит то, как организации общаются, и «упростит информирование C-suite о проблемах безопасности», - сказал Поттс.
Нажмите, чтобы увидеть полное изображение
