Video: Turvan uusi toimitusjohtaja esittäytyy (Marraskuu 2024)
Turvallisuudesta toimitusjohtajilla ei ole aavistustakaan siitä, mitä heidän organisaationsa sisällä tapahtuu. Joten löysi Ponemon-instituutin raportti, joka julkaistiin tällä viikolla ja jossa tutkittiin, kuinka organisaatiot valmistautuivat turvallisuustilanteisiin ja reagoivat niihin. Valtava 80 prosenttia kyselyyn vastanneista sanoi, että he eivät "kommunikoineet" johdon kanssa usein organisaatiota uhkaavista mahdollisista verkkohyökkäyksistä. Tämä ulottuu toimitusjohtajan ulkopuolelle ja kattaa koko C-sarjan (CIO, CSO, COO, CTO jne.).
Oli yllättävää, että "tiedot eivät vain pääse C-sarjaan", Lancopein toimitusjohtaja Mike Potts kertoi Security Watchille. "Puhumme kaikesta tästä jutusta", hän lisäsi.
Yritykset käyttävät miljoonia dollareita tietoturvatuotteisiin ja -palveluihin, ja tutkitaan edelleen tilaajan Lancopein mukaan. Itse asiassa Gartner sanoi, että 67 miljardia dollaria käytettiin IT-tietoturvatuotteisiin maailmanlaajuisesti vuonna 2013. Kuitenkin yrityksiltä varastetaan vuosittain 250 miljardin dollarin arvoinen henkinen omaisuus. Missä irroitus on?
Ei säännöllisiä päivityksiä
Monet avainhenkilöt saattavat tarkastella kaikkia turvallisuusmenoja ja ajatella: "Sain kaikki nämä asiat, olen valmis", Potts sanoi. Jos he eivät saa säännöllisiä päivityksiä ja tietoja organisaation yleisestä turvallisuusasennosta, kyseistä näkymää ei ole syytä muuttaa. Mutta niin sen ei pitäisi olla. "Nykyistä skenaariota ei ole" asetettu ja unohdeta "", Potts sanoi.
Vaikka kyselyssä ei kysytty, miksi tietotekniikan henkilöstö ei ottanut esiin ongelmia C-sarjan kanssa, Potts ehdotti, että kysymys voi liittyä siihen, kuinka turvallisuutta mitataan organisaatiossa. Puolet vastaajista sanoi, että heillä ei ollut mittareita tapahtumien reagointikykyjen mittaamiseksi. Tämä tarkoittaa, että he eivät pysty kääntämään uhkia ja ongelmia kielelle, jonka ylimmät johtajat - jotka ovat huolissaan koko liiketoiminnasta - ymmärtävät tai voivat työskennellä heidän kanssaan.
On myös erittäin todennäköistä, että vaikka keskusteluja turvallisuudesta tapahtui, että avainhenkilöt saivat hyvin "vesitetyn" version ongelmista, Potts sanoi.
"Nyt on C-tason johtajien ja IT-päätöksentekijöiden aika tulla yhteen ja kehittää vahvempia, kattavampia suunnitelmia tapahtumien ratkaisemiseksi. Tämä viestintä on kriittistä, jos haluamme vähentää hämmästyttävän korkean profiilin tietojen rikkomusten ja vahingollisten yritysten tappioita, joita näemme mediassa melkein päivittäin ", Potts sanoi.
Raha merkitsee
Osa ongelmasta on sijoituskysymys. Puolet tutkimuksen vastaajista sanoi, että alle 10 prosenttia heidän kokonaisvaltaisesta turvallisuusbudjetistaan on tarkoitettu tapahtumien torjuntaan. Suurin osa vastineistaan hyökkäyksien ja uhkien vauhdittamisesta huolimatta ei ole lisännyt tätä kohdentamista kahden viime vuoden aikana.
Se on järkevää. Jos C-tason johtajat eivät ymmärrä mitä riskejä ja uhkia ovat, he eivät priorisoi budjettia. Jos avainhenkilöt tietävät mahdollisen menetyksen tai vahingon olevan melko suuri, he voivat toimia vastaavasti aukon korjaamiseksi. Johtajien on "oltava oikeat tiedot oikeiden sijoitusten tekemiseksi", Potts sanoi.
Tarve muuttaa
Noin 68 prosenttia vastaajista sanoi, että heidän organisaatioissaan oli tapahtunut tietorikkomus tai jokin muu tietoturvatapaus kahden viime vuoden aikana. Tästä ryhmästä melkein puolet tai 46 prosenttia vastaajista sanoi toisen tapauksen olevan "välitön", ja se voi tapahtua seuraavan kuuden kuukauden aikana. Tämä on vakava asia, ja selvästi, C-sarjaan tulisi olla kiinnostunut ja työskennellä tietotekniikan kanssa varmistaakseen, että tarvittavat toimenpiteet toteutetaan, eikö niin?
Ei tutkimuksen mukaan, koska suurin osa tutkimuksen 674 tietotekniikka- ja tietoturva-ammattilaisesta väitti, että he eivät eskaloineet näitä asioita tai antaneet ylimmälle johtajalle tietää mitä uhkaa. Saa sinut ihmettelemään, kuinka paljon Target-toimitusjohtaja tiesi ennen kuin hän työnnettiin kansalliseen valonheittimeen ja pyydettiin keskustelemaan rikkomuksesta, eikö niin?
Potts toivoi, että tietorikkomukset Targetissa ja muissa jälleenmyyjissä toimisivat herätyksenä muille. Ehkä Target muuttaa organisaatioiden kommunikaatiota ja "tekee C-sviitille helpon kertoa turvallisuusongelmista", Potts sanoi.
Napsauta nähdäksesi koko kuvan