Med napadi, ceos v temi o kibernetski varnosti

Ko gre za varnost, direktorji nimajo pojma, kaj se dogaja znotraj njihovih organizacij. Tako smo našli ta teden objavljeno poročilo inštituta Ponemon, ki je preučilo, kako so se organizacije pripravile na varnostne incidente in se odzvale nanje. Ogromnih 80 odstotkov anketirancev je povedalo, da z vodstvenim vodstvom ne "pogosto komunicirajo" o morebitnih kibernetskih napadih, ki ogrožajo organizacijo. To sega preko generalnega direktorja in zajema celoten C-paket (CIO, CSO, COO, CTO itd.).

Presenetljivo je bilo, da "informacije preprosto ne sežejo do zbirke C", je za varnostni satnik Mike Potts, predsednik in izvršni direktor Lancopeja, povedal varnostni sat. "Ves čas govorimo o tej stvari, " je dodal.

Podjetja porabljajo milijone dolarjev za varnostne izdelke in storitve in se še vedno kršijo, pravi Lancope, ki je naročil študijo. Dejansko je Gartner dejal, da je bilo v letu 2013 za svetovne izdelke porabljenih 67 milijard dolarjev. Kljub temu pa podjetja vsako leto ukradejo 250 milijard dolarjev intelektualno lastnino. Kje je prekinitev povezave?

Ni rednih posodobitev

Mnogi direktorji si lahko ogledajo vse porabe za varnost in si mislijo: "Vse to sem dobil, končal sem, " je dejal Potts. Če ne dobivajo rednih posodobitev in informacij o celotni varnosti organizacije, potem ni razloga za pregled tega pogleda. Ampak to ne bi moralo biti. "Trenutni scenarij ni nastavljen in pozabi, " je dejal Potts.

Medtem ko v anketi ni vprašal, zakaj IT osebje ne postavlja težav s C-paketom, je Potts predlagal, da je težava lahko povezana z merjenjem varnosti v organizaciji. Polovica anketirancev je dejala, da nimajo meritev, s katerimi bi lahko ocenili učinkovitost svojih zmogljivosti za odzivanje na incident. To pomeni, da ne morejo prevesti groženj in težav v jezik, s katerim lahko višji vodstveni delavci - ki jih skrbi celotno podjetje - razumejo ali z njimi sodelujejo.

Zelo verjetno je, da četudi so se razprave o varnosti zgodile, vodstvo dobiva zelo "zavito" različico težav, je dejal Potts.

"Zdaj je čas, da se vodje na ravni C in nosilci odločanja v IT skupaj zberejo in razvijejo močnejše, celovitejše načrte za odzivanje na incident. To sporočilo je ključnega pomena, če želimo zmanjšati osupljivo pogostost kršitev odmevnih podatkov in škodovati podjetjem izgube, ki jih vsakodnevno opažamo v medijih, "je dejal Potts.

Denarne zadeve

Del težave je naložbeno vprašanje. Polovica anketirancev je v anketi povedala, da je za odziv na incident namenjenih manj kot 10 odstotkov njihovega celotnega varnostnega proračuna, in kljub naraščajoči hitrosti napadov in groženj, je večina povedala, da v zadnjih dveh letih te dodelitve niso povečale.

Je smiselno. Če se vodje na ravni C ne zavedajo, kakšna so tveganja in grožnje, potem proračunu ne bodo dali prednost. Če direktorji vedo, da bo potencialna škoda ali škoda dokaj velika, potem lahko ukrepajo, da zapolnijo to vrzel. Vodilni delavci morajo "imeti prave informacije za prave naložbe", je dejal Potts.

Potreba po spremembi

Približno 68 odstotkov vprašanih je povedalo, da so njihove organizacije v zadnjih dveh letih doživele kršitev podatkov ali kakšen drug varnostni incident. Od te skupine, skoraj polovica ali 46 odstotkov vprašanih, je dejal, da je bil še en incident "neposreden" in bi se lahko zgodil v naslednjih šestih mesecih. To je resno in jasno je, da bi moral biti C-paket zaskrbljen in sodelovati z IT, da bi zagotovili potrebne ukrepe, kajne?

Ne glede na raziskavo, ker je večina od 674 strokovnjakov za IT in varnost v raziskavi trdila, da se teh vprašanj ne stopnjujejo ali da bi starejšim direktorjem sporočila, kaj je v napovedi. Sprašujete se, koliko je glavni direktor Target vedel, preden ga je poslal v središče pozornosti in prosil za razpravo o kršitvi, kajne?

Potts je upal, da bo kršitev podatkov pri podjetju Target in drugih prodajalcih delovala kot budnik za druge. Morda bo Target spremenil način komuniciranja organizacij in "olajšal sporočanje C-paketa o varnostnih težavah", je dejal Potts.

Kliknite za ogled celotne slike