Video: Diventa esperto di Cyber Security, il lavoro non mancherà (Novembre 2024)
Quando si tratta di sicurezza, i CEO non hanno idea di cosa stia succedendo all'interno delle loro organizzazioni. Così ho trovato un rapporto del Ponemon Institute pubblicato questa settimana che esaminava come le organizzazioni si preparavano e rispondevano agli incidenti di sicurezza. Un enorme 80 percento degli intervistati ha dichiarato di non "comunicare frequentemente" con la direzione dei potenziali attacchi informatici che minacciano l'organizzazione. Ciò va oltre l'amministratore delegato e comprende l'intera suite C (CIO, CSO, COO, CTO, ecc.).
È stato sorprendente che "le informazioni non stanno arrivando alla C-suite", ha detto a Security Watch Mike Potts, presidente e CEO di Lancope. "Ne parliamo continuamente", ha aggiunto.
Le aziende stanno spendendo milioni di dollari in prodotti e servizi di sicurezza e continuano a essere violate, secondo Lancope, che ha commissionato lo studio. In effetti, Gartner ha dichiarato che nel 2013 sono stati spesi $ 67 miliardi in prodotti per la sicurezza IT a livello globale. Tuttavia, ogni anno vengono sottratte proprietà aziendali per un valore di $ 250 miliardi. Dov'è la disconnessione?
Nessun aggiornamento regolare
Molti dirigenti possono considerare tutte le spese per la sicurezza e pensare: "Ho tutte queste cose, ho finito", ha detto Potts. Se non ricevono aggiornamenti regolari e informazioni sulla posizione di sicurezza complessiva dell'organizzazione, non vi è motivo di rivedere tale vista. Ma non è così che dovrebbe essere. "Lo scenario attuale non è 'impostato e dimentica'", ha detto Potts.
Mentre il sondaggio non ha chiesto perché il personale IT non stesse sollevando i problemi con la suite C, Potts ha suggerito che il problema potrebbe essere correlato al modo in cui viene misurata la sicurezza all'interno dell'organizzazione. La metà degli intervistati ha dichiarato di non avere metriche per misurare l'efficacia delle proprie capacità di risposta agli incidenti. Ciò significa che non sono in grado di tradurre le minacce e i problemi in un linguaggio che i dirigenti senior, preoccupati per il business in generale, possano comprendere o lavorare.
È anche molto probabile che, anche se si sono verificate discussioni sulla sicurezza, i dirigenti stessero ricevendo una versione molto "annacquata" dei problemi, ha affermato Potts.
"Ora è il momento per i dirigenti di livello C e i responsabili delle decisioni IT di riunirsi e sviluppare piani più solidi e più completi per la risposta agli incidenti. Questa comunicazione è fondamentale se vogliamo ridurre la sorprendente frequenza di violazioni dei dati di alto profilo e danni alle aziende perdite che stiamo vedendo nei media su una base quasi quotidiana ", ha detto Potts.
Questioni di soldi
Parte del problema è un problema di investimento. La metà degli intervistati nel sondaggio ha dichiarato che meno del 10 percento del loro budget complessivo per la sicurezza è destinato alla risposta agli incidenti e, nonostante il ritmo crescente di attacchi e minacce, la maggior parte ha affermato di non aver aumentato tale allocazione negli ultimi due anni.
Ha senso. Se i dirigenti di livello C non comprendono quali sono i rischi e le minacce, non daranno la priorità al budget. Se i dirigenti sanno che la potenziale perdita o danno sarà abbastanza grande, allora possono agire di conseguenza per colmare tale divario. I dirigenti devono "avere le informazioni giuste per fare gli investimenti giusti", ha detto Potts.
Bisogno di cambiare
Circa il 68 percento degli intervistati ha dichiarato che le proprie organizzazioni avevano subito una violazione dei dati o altri incidenti di sicurezza negli ultimi due anni. Di quel gruppo, quasi la metà, o il 46%, degli intervistati ha affermato che un altro incidente è "imminente" e potrebbe accadere entro i prossimi sei mesi. Questo è serio, e chiaramente, la C-suite dovrebbe essere interessata e lavorare con l'IT per assicurarsi che vengano prese le misure necessarie, giusto?
Non secondo il sondaggio, poiché la maggior parte dei 674 professionisti IT e della sicurezza nel sondaggio ha affermato di non aver intensificato questi problemi o di far sapere ai dirigenti senior cosa stava incombendo. Ti chiedi quanto sapeva il CEO Target prima di essere messo sotto i riflettori nazionali e aver chiesto di discutere della violazione, non è vero?
Potts era fiducioso che la violazione dei dati di Target e di altri rivenditori fungesse da campanello d'allarme per gli altri. Forse Target cambierà il modo in cui le organizzazioni comunicano e "faciliterà la comunicazione alla C-suite di problemi di sicurezza", ha affermato Potts.
Clicca per vedere l'immagine completa