Trend Micro Incorporated przedstawił raport, z którego wynika, że aż 79% globalnych liderów ds. cyberbezpieczeństwa odczuwało presję ze strony zarządu, by bagatelizować powagę zagrożeń cybernetycznych, przed którymi stoi ich organizacja.
| REKLAMA | ||
 |
Ponad połowa liderów ds. bezpieczeństwa twierdzi, że zagrożenia cyberbezpieczeństwa mają największy wpływ na ryzyko biznesowe. Nie udaje im się jednak zakomunikować tego ryzyka w języku zrozumiałym dla zarządu. W rezultacie są ignorowani, lekceważeni i oskarżani o zbytnie narzekanie. Dopóki szefowie działów bezpieczeństwo nie będą mieli większego wpływu na decyzje w ich obszarze, nie ma mowy o budowaniu cyberodporności organizacji. Pierwszym krokiem jest zbudowanie jednej bazy wiedzy o powierzchni organizacji narażonej na atak – podkreśla Joanna Dąbrowska CEE Cybersecurity Platform Leader w Trend Micro.
Spośród liderów ds. bezpieczeństwa, którzy znaleźli się pod presją ze strony zarządu, aż 43% twierdzi, że dzieje się tak dlatego, że są postrzegani jako powtarzalni lub irytujący, 42% odczuwa, że ich podejście jest uznawane za zbyt negatywne. Dodatkowa jedna trzecia respondentów (33%) twierdzi, że ich wnioski zostały odrzucone bez zastanowienia.
Wskazuje to na poważną lukę w wiarygodności, ściśle związaną z niezdolnością do przedstawienia cyberbezpieczeństwa jako ryzyka biznesowego, a nie tylko informatycznego. Aż 46% respondentów podało, że gdy tylko byli w stanie zaprezentować mierzalną wartość biznesową swojej strategii dotyczącej cyberbezpieczeństwa, zaczęli być postrzegani jako bardziej przekonujący.
Inne korzyści płynące z tego podejścia obejmują to, że liderzy bezpieczeństwa:
- Czują większą odpowiedzialność (45%)
- Ich rola postrzegana jest jako cenniejsza (44%)
- Otrzymują większy budżet (43%)
- Zostali włączeni do procesu podejmowania decyzji na wyższym szczeblu (41%)
Tylko połowa (54%) respondentów jest przekonana, że ich kadra kierownicza w pełni rozumie zagrożenia cybernetyczne stojące przed organizacją - co ciekawe liczba ta prawie nie zmieniła się od 2021 r. (50%). Ponad jedna trzecia (34%) respondentów twierdzi, że cyberbezpieczeństwo jest nadal traktowane jako część ryzyka informatycznego, a nie biznesowego.
Ponadto 80% uważa, że tylko poważne naruszenie zmotywowałoby zarząd do bardziej zdecydowanych działań w zakresie ryzyka cybernetycznego.
Zróżnicowane, niejednorodne środowisko cyberbezpieczeństwa może potęgować te wyzwania. Wyspowe mechanizmy bezpieczeństwa dostarczają informacji w postaci odrębnych zbiorów, co może utrudniać przedstawienie zarządowi jasnej informacji o ryzyku cybernetycznym – dodaje Joanna Dąbrowska.
Ponad połowa (58%) respondentów uważa, że w celu naprawienia tej sytuacji konieczne będzie zwiększenie umiejętności w zakresie komunikacji IT. Jednak ujednolicona platforma zarządzania ryzykiem powierzchni ataku (ang. Attack Surface Risk Management, ASRM) może wyeliminować potrzebę tak dużych inwestycji, zapewniając spójny i przekonujący wgląd w ryzyko (np. w formie pulpitu nawigacyjnego).
Źródło: Trend Micro
