Čas znovuvybudovat vztahy
59%organizací tvrdí, že vztah mezi kybernetickou bezpečností a odvětvími podnikání je přinejlepším neutrální, nedůvěryhodný nebo neexistující.
- Podle 74% organizací je vztah mezi kybernetickou bezpečností a marketingem v nejlepším případě neutrální, nedůvěryhodný nebo neexistující; 64% říká to samé o týmu pro výzkum a vývoj; 59% zmiňuje odvětví podnikání. Týmy kybernetické bezpečnosti dokonce špatně hodnotí svůj vztah k financím, na kterých jsou závislé z hlediska schvalování rozpočtu, 57% společností tvrdí, že jim chybí.
- Přibližně polovina respondentů (48%) uvedla, že správní rada dosud úplně nerozumí riziku kybernetické bezpečnosti; 43% mezitím tvrdí, že správní rada plně nerozumí hodnotě a potřebám týmu kybernetické bezpečnosti.
- EY Global Board Risk Survey odhaluje, že správní rady nemají důvěru v kybernetickou bezpečnost své organizace, přičemž 50% – v nejlepším případě – uvádí, že mají jen trochu sebedůvěry.
- Pouze 54% organizací uvádí pravidelně kybernetickou bezpečnost jako jeden z bodů na programu správní rady.
- Šest z deseti organizací tvrdí, že nemohou vyčíslit účinnost svých výdajů na kybernetickou bezpečnost u správních rad.
3. CISO se stávají zprostředkovateli transformace
Díky silnějším vztahům na obchodní a správní úrovni, lepšímu pochopení obchodních imperativů organizace a schopnosti předvídat vyvíjející se kybernetickou hrozbu se mohou CISO stát ústředním prvkem transformace svých organizací.
Budou potřebovat nový způsob uvažování a nové dovednosti v oblastech, jako je komunikace, vyjednávání a spolupráce. CISO, kteří se stanou silnými zprostředkovateli změny, budou ti, kdo místo toho, aby řekli „NE“ novým iniciativám, řekli „ANO, ALE…“
Související článek
Kybernetická bezpečnost je považována za překážku na cestě k inovacím
7%organizací by označilo kybernetickou bezpečnost za faktor podporující inovace; většina z nich si vybírá výrazy jako „dodržování předpisů“ a „averze k riziku“.
- Pouze 7% organizací by označilo kybernetickou bezpečnost za faktor podporující inovace; většina z nich si vybírá výrazy jako „dodržování předpisů“ a „averze k riziku“.
- Přibližně polovina organizací (48%) uvádí, že hlavním hnacím motorem nových výdajů je snižování rizik a 29% uvádí požadavky na dodržování předpisů. Pouhých 9% poukazuje na nové obchodní iniciativy.
- Šest z deseti organizací nemá šéfa v oblasti kybernetické bezpečnosti, který by zasedal ve správní radě nebo byl součástí nejvyššího vedení.
Stručná doporučení společnosti EY
Na základě zjištění z letošního GISS je zřejmé, že nyní existuje skutečná příležitost, jak dostat kybernetickou bezpečnost do středu transformace a inovací podniku. To bude vyžadovat, aby správní rady, týmy vedoucích pracovníků, CISO a jednotliví vedoucí pracovníci v celém podniku spolupracovali na:
- Stanovení kybernetické bezpečnosti jako klíčového aktiva v digitální transformaci — uvedení kybernetické bezpečnosti do plánovací fáze každé nové iniciativy. Využití přístupu Security by Design k orientaci v rizicích při transformaci, návrhu produktu nebo služby v počáteční fázi (namísto toho, aby sloužil jako dodatečné řešení).
- Budování vztahů důvěry s každou funkcí organizace — analyzování klíčových obchodních procesů s týmy kybernetické bezpečnosti, což vede k pochopení toho, jak mohou být firmy ovlivněny kybernetickými riziky a jak tým kybernetické bezpečnosti může pomoci zlepšit obchodní funkce kolem nich.
- Zavádění struktur řízení vhodných pro daný účel — vytvořte sady klíčových ukazatelů výkonnosti a klíčových ukazatelů rizika, které lze použít ke sdělování rizikově orientovaných stanovisek ze strany vedoucích pracovníků a členů správní rady.
- Zapojení správní rady — komunikujte v jazyce, kterému správní rada rozumí; zvažte zavedení programu kvantifikace rizik pro účinnější sdělování informací, které se týkají kybernetických rizik.
- Vyhodnotit účinnost funkce kybernetické bezpečnosti s cílem připravit CISO na nové kompetence — určete silné a slabé stránky kybernetické funkce k pochopení toho, čím a jak by měli CISO disponovat.
Shrnutí
Nový výzkum společnosti EY naznačuje, že mimo potřebu dodržování předpisů existuje velká propast mezi kybernetickou bezpečností a podnikáním. Pro překlenutí propasti musí CISO prokázat svou hodnotu v jazykových správních radách a schopnost vrcholného vedení porozumět; a podnik musí přijmout kybernetickou bezpečnost od počáteční fáze a udržovat ji během celého životního cyklu každé iniciativy.