Видео: whatsaper ru ÐедеÑÑкие анекдоÑÑ Ð¿Ñо ÐовоÑÐºÑ (Ноември 2024)
Що се отнася до сигурността, изпълнителните директори нямат представа какво се случва вътре в техните организации. Така открихме доклад на института Ponemon, публикуван тази седмица, в който се изследва как организациите се подготвят и реагират на инциденти със сигурността. Огромните 80 процента от анкетираните са казали, че не „често общуват“ с ръководството за потенциални кибератаки, заплашващи организацията. Това се простира отвъд главния изпълнителен директор и обхваща целия C-пакет (CIO, CSO, COO, CTO и т.н.).
Беше изненадващо, че "информацията просто не стига до С-пакета", заяви Майк Потс, президент и изпълнителен директор на Lancope, пред Security Watch. "Ние говорим за тези неща през цялото време", добави той.
Компаниите харчат милиони долари за продукти и услуги за сигурност и все още се нарушават, според Lancope, който поръча изследването. В действителност, Gartner заяви, че 67 милиарда долара са били изразходвани за продуктите за ИТ сигурност в световен мащаб през 2013 г. Въпреки това интелектуалната собственост на стойност 250 милиарда долара се краде от компании всяка година. Къде е прекъсването?
Няма редовни актуализации
Много ръководители може да разгледат всички разходи за сигурност и да си помислят: „Разбрах всички тези неща, свърших“, каза Потс. Ако те не получават редовни актуализации и информация за цялостната позиция на сигурността на организацията, няма причина да преразглеждате това мнение. Но не така трябва да бъде. „Сегашният сценарий не е„ зададен и забрави “, каза Потс.
Въпреки че проучването не попита защо ИТ персоналът не повдига проблемите с C-пакета, Потс предположи, че проблемът може да е свързан с това как се измерва сигурността в организацията. Половината от анкетираните казаха, че нямат показатели за измерване на ефективността на техните способности за реагиране на инциденти. Това означава, че те не са в състояние да преведат заплахите и проблемите на език, който висшите ръководители - загрижени за цялостния бизнес, могат да разберат или да работят.
Също така е много вероятно, дори ако дискусиите за сигурността са се случили, ръководителите получават много „напоена“ версия на проблемите, каза Потс.
„Сега е време ръководителите на ниво C и лицата, които вземат решения за ИТ, да се съберат и да разработят по-силни, по-всеобхватни планове за реагиране на инциденти. загуби, които наблюдаваме в медиите почти ежедневно “, каза Потс.
Парите имат значение
Част от проблема е инвестиционният въпрос. Половината от анкетираните в проучването заявиха, че по-малко от 10 процента от общия им бюджет за сигурност е отделен за отговор на инциденти и въпреки нарастващия темп на атаки и заплахи, повечето казват, че не са увеличили това разпределение през последните две години.
Има смисъл. Ако ръководителите на ниво С не осъзнаят какви са рисковете и заплахите, те няма да дадат приоритет на бюджета. Ако ръководителите знаят, че потенциалните загуби или щети ще бъдат доста големи, тогава те могат да предприемат съответни действия, за да затворят тази празнина. Ръководителите трябва да "разполагат с правилната информация, за да направят правилните инвестиции", каза Потс.
Трябва да се промени
Около 68 процента от анкетираните заявиха, че техните организации са претърпели нарушение на данните или друг инцидент със сигурността през последните две години. От тази група, почти половината, или 46 процента, от анкетираните заявиха, че друг инцидент е „предстоящ“ и може да се случи в рамките на следващите шест месеца. Това е сериозно и ясно е, че C-пакетът трябва да се занимава и да работи с ИТ, за да е сигурен, че са предприети необходимите стъпки, нали?
Не според проучването, тъй като по-голямата част от 674 професионалисти в сферата на информационните технологии и сигурността в проучването твърдят, че не ескалират тези проблеми или не позволяват на висшите ръководители да знаят какво предстои. Кара те да се чудиш колко много е знаел изпълнителният директор на Target, преди да го вкара в националната светлина и да поиска да обсъди нарушението, нали?
Потс се надяваше, че нарушаването на данните в Target и други търговци на дребно ще действа като събуждане за други. Може би Target ще промени начина, по който организациите общуват, и "ще направи лесно да разказвате на C-Suite за проблемите със сигурността", каза Потс.
Кликнете, за да видите цялото изображение