Cyberbezpieczeństwo w centrum przemian biznesowych, istotnie zmienia się liczba cyberataków, zmieniają się atakujący oraz ich motywy, wynika z badania EY GISS – Global Information Security Survey.
Tegoroczne, już 22-gie Ogólnoświatowe Badanie Bezpieczeństwa Informacji EY (GISS – Global Information Security Survey) pokazuje, że z jednej strony zwiększa się istotnie liczba cyberataków, a z drugiej zmieniają się atakujący oraz ich motywy. Coraz częściej powodem są kwestie społeczne lub polityczne. Prawie ¼ cyberataków jest robiona przez zorganizowane grupy przestępcze, a zaraz za nimi za ponad 20% cyberataków odpowiadają haktywiści.
Badanie EY pokazuje, że 72% respondentów było w stanie odkryć poważne naruszenie bezpieczeństwa informacji w ciągu 30 dni od wystąpienia ataku. Prawie 1/3 zajmuje to zdecydowanie więcej czasu. Jednocześnie 39% organizacji obawia się, że nie będzie w stanie odkryć ataku złośliwego oprogramowania.
Cyberbezpieczeństwo nadal nie jest priorytetem
Można powiedzieć, że w większości firm zespół cyberbezpieczeństwa wciąż pracuje nie w biznesie ale dla biznesu. W efekcie zamiast stosowania zasady Security by Design, gdzie cyberbezpieczeństwo stanowi istotny obszar prac od samego początku projektu, jest ono jedynie dodatkiem, o którym myśli się kończąc projekt. Często więc zawodnym lub bardzo kosztownym dodatkiem.
Rys. 1. Kiedy zespoły cyberbezpieczeństwa dołączają do nowych projektów biznesowych?
Rola Oficera ds. Bezpieczeństwa Informacji (CISO)
Badanie EY pokazuje, że zespoły cyberbezpieczeństwa nie są właściwie powiązane z odpowiednimi zespołami firm odpowiedzialnymi za innowacje, nowe produkty lub usługi czy działania proklienckie. 74% respondentów twierdzi, że relacje miedzy CISO a marketingiem, o ile w ogóle istnieją, są neutralne lub nacechowane brakiem zaufania. 64% przyznaje, że podobnie jest w przypadku nowych produktów czy badań i rozwoju. Lepsza współpraca jest tylko z działem IT, prawnym oraz zarządzania ryzykiem. I chociaż generalnie praca CISO jest doceniana, to tylko 7% respondentów twierdzi, że umożliwia wdrażanie innowacji w bezpieczny sposób.
„Zespół cyberbezpieczeństwa jak mantrę powtarza »oni nas nie rozumieją«. Tak naprawdę większość szefów firm zdaje sobie sprawę z zagrożenia, jednak aby CISO był obecny proaktywnie, a nie reaktywnie w samym centrum transformacji cyfrowej konieczne jest aby funkcja cyberbezpieczeństwa była w stanie dokładnie oszacować i wyjaśnić cyber ryzyka tak przed zarządem jak i przed przedstawicielami jednostek biznesowych” – mówi Kazimierz Klonecki, Partner EY i Lider Działu Cyberbezpieczeństwa.
Potwierdza to badanie EY. 72% firm uważa, że ich zarząd traktuje cyberataki jako poważne ryzyko, które będzie miało wpływ na organizację w ciągu najbliższych 12 miesięcy. Ale osobną kwestią jest zrozumienie zagrożenia. Tylko niecała połowa respondentów (48%) jest zdania, że ich kierownictwo ma odpowiednią wiedzę konieczną do jego oceny i przeciwdziałania. W zarządach i na wyższym szczeblu kierowniczym 6 na 10 organizacji nie ma przedstawiciela działu cyberbezpieczeństwa
Rys. 2. Przekonanie zarządu o możliwości ochrony firmy przed poważnymi cyberatakami
Wielu CISO obawia się jednak, że zarządy nie podchodzą do cyberbezpieczeństwa w sposób ustrukturyzowany, bo tylko 54% organizacji regularnie dyskutuje o tym na poziomie zarządu.
Rys. 3. Jak często cyberezpieczeństwo występuje na agendzie całego zarządu?
CISO przyszłości – nowe umiejętności i nowy status
Do tej pory większość CISO zajmowała się ochroną organizacji przed cyberatakami. To nadal będzie część ich pracy, ale teraz mają możliwość stania się motorem zmian oraz innowacji. Dlatego muszą zdobyć wiedzę biznesową, umiejętności komunikacyjne oraz ścisłej i proaktywnie współpracować z innych działami firmy. Badanie EY pokazuje, że tylko 7% z nich potrafi ocenić z biznesowego punktu widzenia skutki finansowe cyberataków. 39% musi się doszkolić, a aż 23% w ogóle nie potrafi tego zrobić.
„Mówiąc krótko: CISO muszą przestać mówić »nie« i zacząć mówić »tak, ale…«. Nie mogą być postrzegani jako hamulcowi innowacji. Zamiast tego powinni proponować rozwiązywanie problemów i aktywnie domagać się uwzględniania kwestii cyberbezpieczeństwa na początkowym etapie nowych projektów. W ten sposób umożliwią organizacjom bezpieczną transformację – szczególnie obecnie, kiedy tempo transformacji cyfrowej nabrało niespotykanego dotychczas tempa. Trzeba też pamiętać, że proaktywne zaangażowanie zespołów cyberbezpieczeństwa przynosi wymierne korzyści finansowe krótko- i długoterminowo.” – dodaje Klonecki.
Tegoroczne Ogólnoświatowe Badanie Bezpieczeństwa Informacji EY powstało na podstawie wywiadów przeprowadzonych między sierpniem a październikiem 2019 roku z 1300 osobami z wyższego kierownictwa firm z różnych sektorów gospodarki.
https://itreseller.pl/itrnewinternet-umiejetnosci-w-sieci-5g-recepta-na-globalne-problemy-zdaniem-profesora-mischy-dohlera-z-kings-college-london-ktory-byl-gosciem-specjalnym-ericsson-radio-tech-day-2020-w-lodzi/