בין התקפות, מנכ"ל בחושך על אבטחת סייבר

כשמדובר באבטחה, למנכ"לים אין מושג מה קורה בארגונים שלהם. כך מצא דוח של מכון פונמון שפורסם השבוע ובחן כיצד ארגונים נערכו לאירועי ביטחון והגיבו להם. 80 אחוז מהנשאלים בסקר אמרו כי הם לא "מתקשרים" לעתים קרובות עם ההנהלה על התקפות סייבר אפשריות המאיימות על הארגון. זה נמשך מעבר למנכ"ל ומקיף את כל סוויטת ה- C (CIO, CSO, COO, CTO וכו ').

זה היה מפתיע ש"המידע אינו עולה לסוויטת C ", אמר מייק פוטס, נשיא ומנכ"ל לנקופ, ל- Security Watch. "אנחנו מדברים על הדברים האלה כל הזמן", הוסיף.

על פי לנקופ, שהזמינה את המחקר, חברות מוציאות מיליוני דולרים על מוצרי ושירותי אבטחה ועדיין נפרצות. למעשה, גרטנר אמר כי 67 מיליארד דולר הוצאו על מוצרי אבטחת מידע ברחבי העולם בשנת 2013. עם זאת, קניין רוחני בשווי 250 מיליארד דולר נגנב מחברות מדי שנה. היכן הנתק?

אין עדכונים קבועים

מנהלים רבים עשויים להסתכל על כל ההוצאות הביטחוניות וחושבים "יש לי את כל הדברים האלה, סיימתי", אמר פוטס. אם הם לא מקבלים עדכונים שוטפים ומידע על תנוחת האבטחה הכוללת של הארגון, אין שום סיבה לשנות את התצוגה ההיא. אבל לא כך צריך להיות. "התרחיש הנוכחי אינו 'מוגדר ושכח'", אמר פוטס.

בעוד שהסקר לא שאל מדוע אנשי IT לא מעלים את הסוגיות עם חבילת ה- C, פוטס הציע שהנושא עשוי להיות קשור לאופן המדידה של האבטחה בארגון. מחצית מהנשאלים אמרו כי אין להם מדדים למדידת היעילות של יכולות התגובה שלהם לאירוע. המשמעות היא שהם אינם מסוגלים לתרגם את האיומים והבעיות לשפה שהמנהלים הבכירים - מודאגים מהעסק הכולל - יכולים להבין או לעבוד איתם.

סביר להניח שגם אם הדיונים על ביטחון היו קורים, כי מנהלים קיבלו גרסה "מושקעת" מאוד של הבעיות, אמר פוטס.

"הגיע הזמן שמנהלים ברמת C ומקבלי החלטות בתחום ה- IT יתכנסו יחדיו ויפתחו תכניות חזקות ויותר מקיפות לתגובת אירועים. תקשורת זו היא קריטית אם ברצוננו להפחית את התדירות המדהימה של הפרות נתונים בפרופיל גבוה ולפגוע בתאגידים הפסדים שאנו רואים בתקשורת באופן כמעט יומיומי ", אמר פוטס.

ענייני כסף

חלק מהבעיה היא סוגיית השקעה. מחצית מהנשאלים בסקר אמרו כי פחות מעשרה אחוזים מתקציב האבטחה הכולל שלהם מיועד לתגובה לאירועים, ולמרות קצב ההתקפות והאיומים הגובר, הרוב אמרו כי הם לא הגדילו את ההקצאה בשנתיים האחרונות.

זה הגיוני. אם המנהלים ברמת C אינם מבינים מהם הסיכונים והאיומים, הם לא יתעדפו את התקציב. אם המנהלים יודעים שההפסד או הנזק הפוטנציאלי הולך להיות גדול למדי, הם יכולים לפעול בהתאם כדי לסגור את הפער הזה. בכירים צריכים "לקבל את המידע הנכון כדי לבצע את ההשקעות הנכונות", אמר פוטס.

צריך לשנות

כ -68 אחוז מהנשאלים אמרו כי הארגונים שלהם חוו הפרת נתונים או אירוע ביטחוני אחר בשנתיים האחרונות. מהקבוצה ההיא, כמעט מחצית, או 46 אחוז, מהנשאלים אמרו כי אירוע נוסף היה "ממשמש ובא" ועשוי לקרות במהלך ששת החודשים הקרובים. זה רציני, וברור שצריך לדאוג לסוויטת C ולעבוד עם ה- IT כדי לוודא שננקטים צעדים נחוצים, נכון?

לא על פי הסקר, מכיוון שרוב 674 אנשי ה- IT והביטחון בסקר טענו כי הם לא מסלים את הנושאים הללו ולא נותנים לבכירים לדעת מה מתרחש. גורם לך לתהות עד כמה ידע מנכ"ל Target לפני שזרק אותו לאור הזרקורים הלאומי וביקש לדון בהפרה, לא?

פוטס קיווה כי הפרת הנתונים בטרגט וקמעונאים אחרים ישמשו קריאת השכמה לאחרים. אולי היעד ישנה את האופן שבו ארגונים מתקשרים, ו"קל להסביר לסוויטת C על בעיות אבטחה ", אמר פוטס.

לחץ לצפייה בתמונה המלאה