Liderom ds. bezpieczeństwa IT nie udaje się przekonać zarządów o biznesowej słuszności wprowadzenia strategii cyberbezpieczeństwa
Trend Micro Incorporated, globalny lider w dziedzinie cyberbezpieczeństwa, przedstawił raport, z którego wynika, że aż 79% globalnych liderów ds. cyberbezpieczeństwa odczuwało presję ze strony zarządu, by bagatelizować powagę zagrożeń cybernetycznych, przed którymi stoi ich organizacja.
Spośród liderów ds. bezpieczeństwa, którzy znaleźli się pod presją ze strony zarządu, aż 43% twierdzi, że dzieje się tak dlatego, że są postrzegani jako powtarzalni lub irytujący, 42% odczuwa, że ich podejście jest uznawane za zbyt negatywne. Dodatkowa jedna trzecia respondentów (33%) twierdzi, że ich wnioski zostały odrzucone bez zastanowienia.
Wskazuje to na poważną lukę w wiarygodności, ściśle związaną z niezdolnością do przedstawienia cyberbezpieczeństwa jako ryzyka biznesowego, a nie tylko informatycznego. Aż 46% respondentów podało, że gdy tylko byli w stanie zaprezentować mierzalną wartość biznesową swojej strategii dotyczącej cyberbezpieczeństwa, zaczęli być postrzegani jako bardziej przekonujący.
Ponad połowa liderów ds. bezpieczeństwa twierdzi, że zagrożenia cyberbezpieczeństwa mają największy wpływ na ryzyko biznesowe. Nie udaje im się jednak zakomunikować tego ryzyka w języku zrozumiałym dla zarządu. W rezultacie są ignorowani, lekceważeni i oskarżani o zbytnie narzekanie. Dopóki szefowie działów bezpieczeństwo nie będą mieli większego wpływu na decyzje w ich obszarze, nie ma mowy o budowaniu cyberodporności organizacji. Pierwszym krokiem jest zbudowanie jednej bazy wiedzy o powierzchni organizacji narażonej na atak – podkreśla Joanna Dąbrowska, CEE Cybersecurity Platform Leader w Trend Micro.
Inne korzyści płynące z tego podejścia obejmują to, że liderzy bezpieczeństwa:
- Czują większą odpowiedzialność (45%)
- Ich rola postrzegana jest jako cenniejsza (44%)
- Otrzymują większy budżet (43%)
- Zostali włączeni do procesu podejmowania decyzji na wyższym szczeblu (41%)
Istnieje jednak ciągła luka w komunikacji pomiędzy szefami IT a kierownictwem biznesowym. Tylko połowa (54%) respondentów jest przekonana, że ich kadra kierownicza w pełni rozumie zagrożenia cybernetyczne stojące przed organizacją – co ciekawe liczba ta prawie nie zmieniła się od 2021 r. (50%). Ponad jedna trzecia (34%) respondentów twierdzi, że cyberbezpieczeństwo jest nadal traktowane jako część ryzyka informatycznego, a nie biznesowego. Ponadto 80% uważa, że tylko poważne naruszenie zmotywowałoby zarząd do bardziej zdecydowanych działań w zakresie ryzyka cybernetycznego.
Zróżnicowane, niejednorodne środowisko cyberbezpieczeństwa może potęgować te wyzwania. Wyspowe mechanizmy bezpieczeństwa dostarczają informacji w postaci odrębnych zbiorów, co może utrudniać przedstawienie zarządowi jasnej informacji o ryzyku cybernetycznym – dodaje Joanna Dąbrowska.
Ponad połowa (58%) respondentów uważa, że w celu naprawienia tej sytuacji konieczne będzie zwiększenie umiejętności w zakresie komunikacji IT. Jednak ujednolicona platforma zarządzania ryzykiem powierzchni ataku (ang. Attack Surface Risk Management, ASRM) może wyeliminować potrzebę tak dużych inwestycji, zapewniając spójny i przekonujący wgląd w ryzyko (np. w formie pulpitu nawigacyjnego).