Video: Bachelor i Cyber Security | 180 studiepoeng (Oktober 2024)
Når det gjelder sikkerhet, har administrerende direktører ingen anelse om hva som skjer i organisasjonene deres. Så fant en Ponemon Institute-rapport utgitt denne uken som undersøkte hvordan organisasjoner forberedte seg på og responderte på sikkerhetshendelser. Hele 80 prosent av respondentene i undersøkelsen sa at de ikke "ofte kommuniserte" med utøvende ledelse om potensielle nettangrep som truer organisasjonen. Dette strekker seg utover administrerende direktør og omfatter hele C-suiten (CIO, CSO, COO, CTO, etc.).
Det var overraskende at "informasjonen bare ikke kommer opp til C-suiten, " sa Mike Potts, president og administrerende direktør i Lancope, til Security Watch. "Vi snakker om disse tingene hele tiden, " la han til.
Bedrifter bruker millioner av dollar på sikkerhetsprodukter og tjenester og blir fortsatt brudd, ifølge Lancope, som bestilte studien. Faktisk sa Gartner at 67 milliarder dollar ble brukt på IT-sikkerhetsprodukter globalt i 2013. Likevel stjeles intellektuell eiendom for 250 milliarder dollar fra selskaper hvert år. Hvor er frakoblingen?
Ingen vanlige oppdateringer
Mange ledere kan se på alle sikkerhetsutgiftene og tenke: "Jeg har alt dette, jeg er ferdig, " sa Potts. Hvis de ikke mottar jevnlige oppdateringer og informasjon om organisasjonens samlede sikkerhetsstilling, er det ingen grunn til å revidere det synet. Men det er ikke slik det skal være. "Det nåværende scenariet er ikke 'sett og glem', " sa Potts.
Mens undersøkelsen ikke spurte hvorfor IT-personell ikke tok opp problemene med C-suiten, antydet Potts at problemet kan ha sammenheng med hvordan sikkerhet måles i organisasjonen. Halvparten av respondentene sa at de ikke hadde noen beregninger for å måle effektiviteten av deres evner til responsrespons. Dette betyr at de ikke er i stand til å oversette truslene og problemene til språk seniorledere - bekymret for den samlede virksomheten - kan forstå eller jobbe med.
Selv om diskusjonene om sikkerhet skjedde, er det også sannsynlig at ledere mottok en veldig "utvannet" versjon av problemene, sa Potts.
"Nå er tiden inne for at ledere og IT-beslutningstakere på C-nivå skal komme sammen og utvikle sterkere, mer omfattende planer for respons på hendelser. Denne kommunikasjonen er kritisk hvis vi ønsker å redusere den forbløffende frekvensen av høyprofilerte brudd på data og ødelegge bedrifter tap vi ser i media på en nesten daglig basis, "sa Potts.
Penger har betydning
En del av problemet er et investeringsproblem. Halvparten av de spurte i undersøkelsen sa at mindre enn 10 prosent av det samlede sikkerhetsbudsjettet er øremerket til respons på hendelser, og til tross for det økende tempoet i angrep og trusler, sa de fleste at de ikke har økt bevilgningen de siste to årene.
Det gir mening. Hvis ledere på C-nivå ikke innser hva risikoen og truslene er, vil de ikke prioritere budsjettet. Hvis lederne vet at potensielt tap eller skade vil bli ganske stort, kan de handle deretter for å lukke dette gapet. Ledere må "ha riktig informasjon for å gjøre de riktige investeringene, " sa Potts.
Trenger å endre
Rundt 68 prosent av de spurte sa at deres organisasjoner hadde opplevd et datainnbrudd eller en annen sikkerhetshendelse de siste to årene. Av den gruppen sa nesten halvparten, eller 46 prosent, av de spurte at en annen hendelse var "nært forestående" og kan skje i løpet av det neste halvåret. Dette er alvorlig, og klart, C-suiten bør være bekymret og jobbe med IT for å sikre at nødvendige skritt blir tatt, ikke sant?
Ikke i følge undersøkelsen, fordi flertallet av de 674 IT- og sikkerhetspersonellene i undersøkelsen hevdet at de ikke eskalerte disse problemene eller la seniorlederne vite hva som dreier seg om. Gjør du lurer på hvor mye Target CEO visste før han ble kastet inn i det nasjonale søkelyset og bedt om å diskutere bruddet, ikke sant?
Potts var håpefulle at datainnbruddet hos Target og andre forhandlere ville fungere som en vekker for andre. Kanskje Target vil endre hvordan organisasjoner kommuniserer, og "gjøre det enkelt å fortelle C-suiten om sikkerhetsproblemer, " sa Potts.
Klikk for å se hele bildet
