Video: Cyber attacks increased during the coronavirus pandemic, says Avast CEO (September 2024)
När det gäller säkerhet har verkställande direktörer ingen aning om vad som händer inom deras organisationer. Så hittade en rapport från Ponemon Institute släppt denna vecka som undersökte hur organisationer förberedde sig för och svarade på säkerhetsincidenter. Cirka 80 procent av de svarande svarade att de inte "kommunicerar ofta" med den verkställande ledningen om potentiella cyberattacker som hotar organisationen. Detta sträcker sig utöver verkställande direktören och omfattar hela C-sviten (CIO, CSO, COO, CTO, etc.).
Det var förvånande att "informationen bara inte kommer upp till C-sviten", berättade Mike Potts, VD och koncernchef för Lancope, till Security Watch. "Vi pratar om det här hela tiden", tillade han.
Företagen spenderar miljontals dollar på säkerhetsprodukter och tjänster och blir fortfarande kränkta, enligt Lancope, som beställde studien. Faktum är att Gartner sade att 67 miljarder dollar spenderades på IT-säkerhetsprodukter över hela världen 2013. Ändå stjäls immateriella rättigheter till 250 miljarder dollar från företag varje år. Var är bortkopplingen?
Inga regelbundna uppdateringar
Många chefer kanske tittar på alla säkerhetsutgifter och tänker: "Jag har allt detta, jag är klar, " sa Potts. Om de inte får regelbundna uppdateringar och information om organisationens övergripande säkerhetsställning, finns det ingen anledning att se över den åsikten. Men det är inte så det ska vara. "Det aktuella scenariot är inte" inställt och glöm ", sade Potts.
Medan undersökningen inte frågade varför IT-personal inte tog upp frågorna med C-sviten föreslog Potts att frågan kan vara relaterad till hur säkerhet mäts i organisationen. Hälften av de tillfrågade sa att de inte hade några mätvärden för att mäta effektiviteten i deras kapacitet för svar på händelser. Det betyder att de inte kan översätta hoten och problemen till språk som ledande befattningshavare - oroade över den övergripande verksamheten - kan förstå eller arbeta med.
Det är också mycket troligt att även om diskussionerna om säkerhet skedde, att chefer fick en mycket "urvattnad" version av problemen, sa Potts.
"Nu är det dags för chefer på IT-nivå och IT-beslutsfattare att träffas och utveckla starkare och mer omfattande planer för händelsersvar. Denna kommunikation är kritisk om vi vill minska den häpnadsväckande frekvensen av högprofilerade databrott och skada företag förluster vi ser i media nästan dagligen, sade Potts.
Pengar spelar roll
En del av problemet är en investeringsfråga. Hälften av de tillfrågade i undersökningen sade att mindre än 10 procent av deras totala säkerhetsbudget är öronmärkta för händelsens svar, och trots den växande takt av attacker och hot, sade de flesta att de inte har ökat tilldelningen under de senaste två åren.
Det är vettigt. Om cheferna på C-nivå inte inser vilka risker och hot är, kommer de inte att prioritera budgeten. Om cheferna vet att den potentiella förlusten eller skadan kommer att bli ganska stor, kan de agera i enlighet därmed för att stänga detta gap. Chefer måste "ha rätt information för att göra rätt investeringar", sade Potts.
Behov av att ändra
Cirka 68 procent av de svarande sa att deras organisationer hade upplevt ett dataöverträdelse eller någon annan säkerhetshändelse under de senaste två åren. Av den gruppen sa nästan hälften, eller 46 procent, av de tillfrågade att en annan incident var "överhängande" och skulle kunna hända inom de kommande sex månaderna. Detta är allvarligt och tydligt bör C-sviten vara bekymrade och arbeta med IT för att se till att nödvändiga åtgärder vidtas, eller hur?
Inte enligt undersökningen, eftersom majoriteten av 674 IT- och säkerhetspersonal i undersökningen hävdade att de inte eskalerade dessa frågor eller lade de ledande befattningshavarna veta vad som hotade. Gör du undrar hur mycket Target CEO visste innan han kastades in i det nationella rampljuset och bad att diskutera överträdelsen, eller hur?
Potts var hoppfull att dataöverträdelsen hos Target och andra återförsäljare skulle fungera som ett väckarklocka för andra. Kanske Target kommer att förändra hur organisationer kommunicerar och "gör det enkelt att berätta C-sviten om säkerhetsproblem", sa Potts.
Klicka för att se hela bilden
