Video: Phishing - nebezpečná kybernetická taktika (November 2024)
Pokiaľ ide o bezpečnosť, generálni riaditelia nemajú potuchy, čo sa deje v ich organizáciách. Tak sme našli správu Ponemon Institute zverejnenú tento týždeň, ktorá skúmala, ako sa organizácie pripravujú na bezpečnostné incidenty a ako na ne reagovali. Neuveriteľných 80 percent respondentov prieskumu uviedlo, že „často nekomunikujú“ s výkonným manažmentom o potenciálnych kybernetických útokoch ohrozujúcich organizáciu. Toto presahuje rámec výkonného riaditeľa a zahŕňa celý balík C (CIO, CSO, COO, CTO atď.).
Prekvapivé bolo, že „tieto informácie sa nedostanú k C-suite, “ povedal Mike Potts, prezident a generálny riaditeľ spoločnosti Lancope, spoločnosti Security Watch. „Stále hovoríme o týchto veciach, “ dodal.
Spoločnosti míňajú milióny dolárov za bezpečnostné produkty a služby a podľa agentúry Lancope, ktorý túto štúdiu zadal, sú stále porušované. Spoločnosť Gartner v skutočnosti uviedla, že v roku 2013 sa celosvetovo vynaložilo 67 miliárd dolárov na bezpečnostné produkty IT. Spoločnosti však každý rok odcudzia duševné vlastníctvo v hodnote 250 miliárd dolárov. Kde je odpojenie?
Žiadne pravidelné aktualizácie
Mnoho vedúcich pracovníkov sa môže pozrieť na všetky výdavky na bezpečnosť a myslieť si: „Mám všetky tieto veci, hotovo som, “ povedal Potts. Ak nedostávajú pravidelné aktualizácie a informácie o celkovom postoji organizácie k bezpečnosti, potom nie je dôvod tento názor revidovať. Ale to by nemalo byť. „Súčasný scenár nie je„ nastavený a zabudnutý “, povedal Potts.
Aj keď sa prieskum nepýtal, prečo IT pracovníci nevystúpili s problémami s balíkom C, Potts naznačil, že problém môže súvisieť s meraním bezpečnosti v rámci organizácie. Polovica respondentov uviedla, že nemala žiadne metriky na meranie efektívnosti svojich schopností reagovať na incidenty. To znamená, že nedokážu preniesť hrozby a problémy do jazyka, s ktorým môžu vedúci pracovníci - znepokojení z celkového podnikania - porozumieť alebo s nimi pracovať.
Je tiež veľmi pravdepodobné, že aj keď k diskusiám o bezpečnosti došlo, títo vedúci pracovníci dostali veľmi „oslabenú“ verziu problémov, povedal Potts.
„Teraz je čas, aby sa vedúci pracovníci na úrovni C a pracovníci s rozhodovacími právomocami v oblasti IT spojili a vypracovali silnejšie a komplexnejšie plány reakcie na incidenty. Táto komunikácia je rozhodujúca, ak chceme znížiť ohromujúcu frekvenciu vysokoprofilového narušenia údajov a poškodenia podnikovej sféry. straty, ktoré v médiách vidíme takmer denne, “povedal Potts.
Na peniazoch záleží
Súčasťou problému je aj problém s investíciami. Polovica respondentov v prieskume uviedla, že menej ako 10 percent z ich celkového rozpočtu na bezpečnosť je vyčlenených na reakciu na incidenty, a to napriek rastúcemu tempu útokov a hrozieb, väčšina uviedla, že v posledných dvoch rokoch toto pridelenie nezvýšili.
To dáva zmysel. Ak si vedúci pracovníci na úrovni C neuvedomujú, aké sú riziká a hrozby, nezvýhodnia rozpočet. Ak vedúci pracovníci vedia, že potenciálna strata alebo poškodenie bude dosť veľká, môžu primerane konať, aby túto medzeru uzavreli. Vedúci pracovníci musia mať „správne informácie, aby mohli správne investovať“, povedal Potts.
Potreba zmeny
Asi 68 percent respondentov uviedlo, že ich organizácie zažili za posledné dva roky porušenie údajov alebo iný bezpečnostný incident. Takmer polovica alebo 46 percent respondentov z tejto skupiny uviedlo, že ďalší incident bol „bezprostredný“ a môže sa vyskytnúť v priebehu nasledujúcich šiestich mesiacov. Je to vážne a jednoznačne by sa to malo týkať balíka C a spolupracovať s IT s cieľom zabezpečiť, aby sa podnikli potrebné kroky, však?
Nie podľa prieskumu, pretože väčšina zo 674 odborníkov v oblasti IT a bezpečnosti v prieskume tvrdila, že tieto problémy nevystúpili, ani neinformovali vedúcich pracovníkov o to, čo sa deje. Zaujíma vás, ako veľmi vedel cieľový cieľ predtým, ako sa dostal do národného centra pozornosti, a požiadal o diskusiu o porušení, nie?
Potts dúfal, že porušenie údajov v spoločnosti Target a ďalších maloobchodníkoch bude slúžiť ako budíček pre ostatných. Možno, že Target zmení spôsob komunikácie organizácií a „uľahčí informovanie C-suite o bezpečnostných problémoch, “ povedal Potts.
Kliknutím zobrazíte celý obrázok