Едва 39% от отговорниците по ИТ сигурността в организациите смятат, че ръководството на съответните компании разбира ролята на кибер-защитата като ключово средство за постигане на бизнес-цените. Над една трета от CISO (36%) смятат, че шефовете им гледат на сигурността като на нещо важно само по отношение на съответствието с регулаторните изисквания. 17% казват, че тя изобщо не се разглежда като бизнес-приоритет.
Това са част от изводите от изследване на Delinea, доставчик на PAM решения, на база глобално проучване, разкриващо ефекта от разминаването между дейностите по кибер-сигурност и цялостния бизнес. За анализа са анкетирани над 2000 лица, вземащи решения за ИТ сигурността (ITSDM).
Разминаването между бизнес-целите и тези за кибер-сигурност изглежда води до най-малко едно отрицателно последствие при 89% от организациите. Повече от четвърт от запитаните CISO (26%) съобщават още, че неглижирането от страна на топ-мениджмънта е довело до увеличен брой успешни кибератаки в съответната компания.
Негативни последици
Ефектът от разминаването широкообхватен. Той е допринесъл за забавяне на инвестициите (35%), отлагане на вземането на стратегически решения (34%) и ненужно увеличение на разходите (27%).
Има и последствия за самите хора. 31% от запитаните отговорници по ИТ сигурност съобщават, че разминаването е повлияло на целите им екипи от гледна точка на стреса. Глобалната икономическа несигурност влошава ситуацията. Половината от анкетираните (48%) споделят, че в резултат на нея става все по-трудно да се постигне синхрон между кибер-сигурността и цялостните бизнес-цели.
Ако има нещо окуражаващо в изводите, то е, че повечето екипи по кибер-защита (62%) се срещат редовно със своите бизнес-колеги на най-високо ниво. Освен това при 54% от компаниите е факт, че членове на екипа по ИТ сигурност са „вградени“ в бизнес-функциите.
Липса на разбиране
Проучването обаче показва, че има още какво да се подобри, тъй като по-малко от половината организации (48%) документират политики и процедури за улесняване на синхронизирането между бизнес-целите и целите в сферата на кибер-защитата. Третина от респондентите (33%) съобщават, че привеждането в съответствие се случва „ад-хок“.
Анализът подчертава и, че показателите, използвани за измерване и демонстриране на стойността на кибер-сигурността, все още са тясно свързани с технически показатели. Например броят на предотвратените атаки (31%) е посочен като най-важната мярка за успех. Следват данните за постигане на целите за регулаторно съответствие (29%) и намаляването на разходите за инциденти със сигурността (29%).
„Кибер-сигурността може да бъде огромен фактор за бизнеса. Ала изследването сочи, че има още работа за вършене на ниво борд на директорите, когато става дума за промяна на нагласите. Изпълнителните мениджъри трябва да мислят за ИТ сигурността не само от гледна точка на отметката в полето за регулаторно съответствие или защита на компанията, но и от гледна точка на стойността, която получават на по-стратегическо ниво“, казва Джоузеф Карсън, главен учен по сигурността и съветник по информационна сигурност (CISO) в Delinea.
Ценни умения
Изграждането на набор от бизнес-умения у мениджърите по сигурността може да доведе до подобряване на картината. Анкетираните обаче посочват техническите умения като най-ценни, които лидерите в областта на кибер-сигурността трябва да притежават. Те са оценени по-високо от други умения като комуникация, сътрудничество, проницателност и умения за управление на хора.
Близо една трета (31%) смятат, че представянето на бизнес-аргументи пред борда на директорите и топ-мениджърите е съществен пропуск в техния набор от умения. Що се касае до комуникационните способности, 30% от анкетираните ги определят като „ област за подобрение“.
Нужда от изравняване
„Изравняването на значимостта на ИТ сигурността с останалите бизнес-цели е от съществено значение за успеха на всяка организация. Изследването ясно подчертава негативните последици, когато целите на различните екипи не са напълно синхронизирани“, добавя Карсън. Всички в дадена организация трябва да имат ясно разбиране за всички важни бизнес-функции и стойността на кибер-защитата трябва е ясна за тях като неразривна част от бизнес-целите.
В сърцевината на проблема е комуникацията. Силните технически умения все още са важни, но лидерите по сигурността се нуждаят от способността да общуват и убеждават, да влияят и да представят стойността, която тяхната дейност носи за бизнес-резултатите.