Лидерите по ИТ сигурността могат да приложат пет стъпки, за да си помогнат в балансирането между киберзащитата и бизнес-целите (графика: CC0 Public Domain; генерирана от Ai)
По целия свят лидерите в областта на информационната сигурност казват, че им е трудно да балансират необходимостта от подходяща защита на данните с потребността от максимално ефективно използване на тези данни за постигане на бизнес целите на организацията. Едва 14% от лидерите по киберзащитата успяват да се справят с тази фина еквилибристика.
35% от лидерите в областта на информационната защита са уверени, че могат да гарантират безопасността на данните в организацията. Други 21% са убедени, че данните са лесно достъпни за ефективно използване за постигане на конкретните бизнес-цели, разкрива проучване на Gartner. То е проведено сред 318 висши ръководители по сигурността – през лятото на 2024 г.
„Ако едва 14% от лидерите по киберсигурността са способни да защитят данните на организацията, като същевременно поддържат бизнес-целите й, значи много организации са изправени пред повишена уязвимост към киберзаплахи, регулаторни санкции и оперативна неефективност,“ коментира Нейтън Паркс, старши специалист-изследовател в Gartner.
Според него, трудното жонглиране с двете коренно различни задължения е нещо, на което трябва да се обърне внимание. „В крайна сметка тези организации рискуват конкурентното си предимство и доверието на заинтересованите страни“, каза той.
В светлината на констатациите си Gartner разработи контролен списък от пет точки в помощ на лидерите по сигурността. Целта е по-добро съгласуване и синхронизиране на бизнес-нуждите със строгите изисквания за сигурност на данните и успешното постигане както на ефективна защита на данните, така и на целите за подпомагане на бизнеса:
- CISO трябва да се опитат да облекчат неудобствата от гледна точка на бизнеса, които са свързани с управлението, чрез съвместно създаване на политики и стандарти за сигурност на данните, вземайки под внимание приноса и обратната връзка от крайните потребители в цялата организация;
- Те следва да се опитат да съгласуват усилията за управление, свързани със сигурността на данните, като си партнират по-активно с другите вътрешни дейности в организацията, за да идентифицират области на припокриване и потенциална синергия;
- нужно е ясно да идентифицират и очертаят всички неподлежащи на обсъждане изисквания за киберсигурност, които бизнесът трябва да изпълни безусловно;
- по отношение на генеративния изкуствен интелект (GenAI) и вземането на решения, свързани с него, CISO трябва да се погрижат да дефинират подходящи предпазни линии и то на високо ниво, позволявайки на заинтересованите страни да експериментират в рамките на зададени параметри;
- важно е CISO да си сътрудничат с екипите за данни и бизнес-анализи, за да си гарантират, че със сигурността на данните са ангажирани хора от най-висшето ръководство.
Последната препоръка на Gartner – тази относно изграждането на по-ефективни работни взаимоотношения с висшите мениджъри, чиято основна работа не е свързана с киберсигурността – представлява вечен „трън в петите“ на много лидери по сигурността, които често се оплакват от различни нагласи.
Това беше подчертано в скорошно проучване на Splunk, специалист по анализ на сигурността и наблюдение, който анкетира главни служители по информационна сигурност (CISO) в 10 страни. Анализът установи, че CISO имат все по-важно място в заседателни зали, но въпреки това са налице колосални пропуски между техните приоритети и интересите на другите топ-мениджъри.
Например, повишаването на квалификацията или преквалификацията на служителите по киберзащитата е приоритетна област за 51% от CISO, но под една трета от останалите топ-шефове мислят за това.
Същото проучване показа, че едва 29% от топ-ръководителите по инфосигурността намират за достатъчен бюджета, който получават, така че да могат да работят ефективно, докато повечето други топ-мениджъри смятат, че бюджетите за ИТ сигурност са доволно големи.