Kako će se vaše poslovanje nositi s potrebom za kibernetičkom sigurnosti?

4 minuta/e čitanja 16 sij 2020
Related topics Poslovno savjetovanje

Prikaži izvore

Čelnici sigurnosti i njihovi odbori nisu uvijek u potpunosti angažirani kako se suočiti sa sustavnim rizicima koji predstavljaju kibernetičke prijetnje.

Gotovo dvije trećine tvrtki ne uspijevaju uključiti kibernetičku sigurnost u ranoj fazi jer se usredotoče na tehnološke transformacije i inovacije. Rani rezultati iz najnovije EY Global Information Security Survey (GISS) otkrivaju da se samo 36% timova za kibernetičku sigurnost traži da igraju ranu ulogu u takvim inicijativama.

Čini se da problem, koji prijeti ozbiljnom narušavanju napora mnogih organizacija na iskorištavanju digitalizacije i novih tehnologija, proizlazi iz nedostataka u angažmanu, razumijevanju i svijesti o riziku između odbora poduzeća, ostalih funkcija poslovanja i tima za kibernetičku sigurnost. Bez zatvaranja takvih praznina, timovima za kibernetičku sigurnost i dalje će biti teško osigurati resurse, podršku i status koji im je potreban da bi pravilno zaštitili svoje organizacije.

Iako mnoge organizacije kažu da njihovi timovi za kibernetičku sigurnost imaju dobre odnose sa susjednim funkcijama kao što su IT, revizija, rizik i pravo, zabrinuti su zbog nedostatka povezanosti s ostalim dijelovima poslovanja. Na primjer, 74% kaže da je veza između kibernetičke sigurnosti i marketinga u najboljem slučaju neutralna, nepovjerljiva ili nepostojeća; 64% kaže isto za istraživački i razvojni tim; 59% za djelatnosti. Timovi za kibernetičku sigurnost čak loše ocjenjuju odnos s financijama o kojima ovise o odobrenju budžeta, a 57% tvrtki kaže da im nedostaje.

Ova otkrića su posebno zabrinjavajuća jer ovogodišnji GISS, kojim se intervjuiralo gotovo 1.300 poduzeća širom svijeta, naglašava upozorenja da razina prijetnji i dalje rasti. Otkriva kako je 59% tvrtki doživjelo porast broja destruktivnih napada u posljednjih 12 mjeseci. Od toga je više od polovice pogođeno porastom od 10% ili više.

Taj porast u napadima je jedan od razloga zašto generalni direktori sada kibernetičku sigurnost smatraju jednim od najhitnijih rizika s kojima se suočavaju. 2019 EY CEO Imperative Study otkriva da izvršni direktori vjeruju da su nacionalna i korporativna kibernetička sigurnost najveća prijetnja koja suočava svjetsko gospodarstvo u idućih 10 godina.

Međutim, ovogodišnji GISS otkriva jaz između namjere i prakse, jer mnoge organizacije nisu dovoljno surađivale sa svojim odborima o kibernetičkoj sigurnosti.

Gdje se poboljšati

Iako većina tvrtki kaže da njihovi odbori barem sudjeluju u uspostavljanju i odobravanju strategije, smjera i proračuna svojih programa za kibernetičku sigurnost, samo je manjina u potpunosti angažirana u ovom poslu.

Jedan od problema mnogih odbora je što se ne osjećaju sposobnima razumjeti rizike s kojima se suočavaju njihove organizacije ili mjere koje bi ublažile te rizike. Prednost prioriteta glavnih službenika za informacijsku sigurnost mora biti pružanje boljeg razumijevanja kibernetičke sigurnosti starijih čelnika tvrtke.

Oni će se gurati prema otvorenim vratima: sami se odbori žele poboljšati u ovom području, a gotovo polovica onih za koje postoji nedostatak znanja sada poduzimaju korake da to otklone. Samo 25% ispitanika na GISS kažu da su u mogućnosti kvantificirati rizik u financijskim ili poslovnim uvjetima. U međuvremenu, rani rezultati iz EY Global Board Risk Survey pokazuju da je samo 20% zajednice vrlo sigurno u mjere ublažavanja kibernetičkih napada svojih organizacija.

EY Global Board Risk Survey

20%

odbora izrazito su sigurni u mjere ublažavanja kibernetičkih napada njihovih organizacija.

Nemogućnost sigurnosnog tima i voditeljskog tima da učinkovito komuniciraju o važnosti i vrijednosti sigurnosti, zajedno s manjkom odnosa, pomaže objasniti rašireni neuspjeh u uključivanju kibernetičke sigurnosti u najraniju fazu dizajniranja novih, tehnološki omogućenih poslovnih inicijativa. Kao što svaki sigurnosni stručnjak potvrđuje, ako ne dizajnirate sigurnost i otpornost unutar inicijativa od početka, kao što bi netko dizajnirao sigurnosnu opremu u automobilu prije nego što bi je stavio na put, recept je za neuspjeh.

U tom kontekstu, nepovezanost između timova za kibernetičku sigurnost i viših poslovnih lidera može biti vrlo štetna. Mnogi odbori ne cijene u potpunosti vrijednost svojih programa za kibernetičku sigurnost ili nisu detaljno proučavali njihove potrebe. Ono što je najvažnije, oni ne vide sigurnost kao strateški zahtjev koji se mora uzeti u obzir u fazama planiranja bilo koje nove inicijative. CISO-i koji ne uspostave jače veze sa svojim odborima i čelnim ljudima, će se i dalje boriti u ulozi "vatrogasca", za razliku od strateškog savjetnika koji može pomoći poslovnim liderima u donošenju važnih odluka o kompromisu rizika.

Nova uloga za voditelje informacijske sigurnosti?

Kako funkcija kibernetičke sigurnosti može riješiti ove probleme? Jedan će izazov biti detaljnije navesti vrijednost koju on stvara. Na primjer, samo 7% tvrtki uvjereno je da u financijskom smislu mogu kvantificirati utjecaj kršenja kibernetičke sigurnosti.

Podizanje profila kibernetičke sigurnosti na razini upravnog odbora također je presudno. Gotovo trećina tvrtki (32%) kaže da je kibernetička sigurnost točka dnevnog reda odbora samo godišnje - ili nikad. A kod mnogih tvrtki to se pitanje stavlja na dnevni red samo ad hoc.

Ovi podaci pokazuju da voditelji informacijske sigurnosti trebaju preispitati svoje uloge, nastojeći zaštititi svoje organizacije od rizika kibernetičke sigurnosti. Iako će i dalje trebati snažne tehničke vještine i stručnost, njihova sposobnost uspostavljanja čvršćih odnosa na razini odbora i na drugim funkcijama postaje sve važnija.

Tvrtke su u svakoj industriji sada suočene s izazovima prekida i brzog nastanka značajne mogućnosti, a to su njihovi voditelji informacijske sigurnostikoji koji imaju neusporedivu priliku da postanu agenti promjena. Oni koji podižu svoj profil, učvršćuju svoju poziciju u središtu poduzeća i nude prevladavajuće načine ublažavanja rizika i postat će ključni pokretači strateške transformacije.

Sažetak

Novo istraživanje EY-a sugerira da svi upravni odbori ili čelni ljudi ne razumiju cyber rizike s kojima se suočavaju njihove tvrtke - kao rezultat toga, mnogi se nisu uspjeli suočiti s tim problemom. Voditelji informacijske sigurnosti dijele odgovornost: možda će sada morati preispitati svoje uloge da bi se uhvatili u koštac s tim problemom.

Više o članku

Related topics Poslovno savjetovanje
[an error occurred while processing this directive]