Директорите по ИТ сигурност би трябвало вече да са част от бордовете на големите организации, но това рядко е така. Нещо повече – твърде често шефовете по ИТ сигурността и бордовете въобще не са „на една страница от книгата“, когато става дума за кибератаки.
Киберсигурността е основен приоритет за организациите днес – това е добрата новина от наскоро публикуван доклад на ProofPoint, изготвен в сътрудничество със Cybersecurity в MIT Sloan. Въпросното виждане се споделя от 77% от анкетираните в проучването. За съжаление единомислието между директорите по ИТ сигурността и останалите шефове свършва дотук.
Близо половината от членовете на борда се чувстват неподготвени за кибератака, разкрива анализът. 47% от членовете на борда споделят, че техните организации не са подготвени да се справят с целенасочена атака. Само две трети от членовете на бордовете разглеждат човешката грешка като най-голямата си киберуязвимост. Това е така, въпреки констатацията на Световния икономически форум, че именно човешката грешка е изворът на 95% от всички инциденти в киберсигурността.
Членовете на бордовете изобщо не са на едно мнение с директорите по ИТ сигурността (т.нар. CISO) относно това кои въздействия от киберинцидент са най-страшни. Най-голямото безпокойство на бордовете е, че данните ще станат публични (37%). Освен това 34% казват, че сред сериозните последици е увреждането на репутацията. Заедно с това 33% посочват, че топ-проблем би била загубата на приходи.
CISO, от друга страна, смятат за най-тежки последици непланираният престой, прекъсването на оперативната работа и въздействието върху бизнес-оценките.
Фактът, че членовете на бордовете и съответните CISO в организациите нямат единомислие по въпроса за щетите представлява значителен риск за организациите, казва Лусия Милика, вицепрезидент и глобален отговорник по въпросите на ИТ сигурността в Proofpoint. „CISO се нуждае от подкрепа от борда. Ако те не могат да постигнат единна позиция, осигуряването на необходимите инвестиции в киберсигурността става почти невъзможна задача“.
Докладът разглежда три фактора: киберзаплахите и рисковете, пред които са изправени бордовете, тяхното ниво на готовност за борба с тези заплахи и привеждането им в съответствие с препоръките на вътрешните CISO експерти.
Няма голямо единомислие и по въпроса кои са най-големите уязвимости за организациите, когато иде реч за кибератаки. Членовете на бордовете и CISO са съгласни, че една от най-големите опасности са компрометираните бизнес имейли (41%). Наред с това сред топ-заплахите, според управителните съвети, са компрометирането на облачни акаунти (37%) и рансъмуерът (32%). През това време като втора най-страшна заплаха CISO класират вътрешните пробиви.
Разривът става още по-голям, когато става дума за финансиране. Въпреки че 75% от бордовете заявяват, че разбират системния риск за своята организация, 76% смятат, че са „инвестирали достатъчно“ в киберсигурността. Три-четвърти са убедени, че данните им са „адекватно защитени“.
„Бордовете са безмилостно фокусирани върху темата за приходите и разходите, а CISO често са затънали в технически език“, казва Милика. „Тази липса на комуникация и споделено разбиране на кибер-риска може да постави организациите в изключително неблагоприятно положение, когато се опитват да се борят с днешните заплахи“.
Нещо, което мнозина може да сметнат за изненада, е че 80% от бордовете са съгласни, че техните организации трябва да бъдат задължени да докладват на регулаторите за съществена кибератака в разумен срок. Едва 6% посочват, че не са съгласни с подобна регулация. „Въпреки че може да доведе до увеличени разходи за спазване на новите киберрегулации, бордовете откриват, че цената на забавеното реагиране, без помощ от регулаторите, всъщност е много по-висока“, казва Милика.
В проучването са разгледани отговорите на анкета сред 600 членове на бордове на организации с 5000 или повече служители от различни индустрии в 12 страни, включително САЩ, Канада, Обединеното кралство, Франция, Германия, Италия, Испания, Австралия, Сингапур, Япония, Бразилия и Мексико.