Trend Micro Incorporated, globalny lider w dziedzinie cyberbezpieczeństwa, przedstawił raport, z którego wynika, iż aż 79% globalnych liderów ds. cyberbezpieczeństwa odczuwało presję ze strony zarządu, by bagatelizować powagę zagrożeń cybernetycznych, przed którymi stoi ich organizacja.
Więcej informacji o badaniu Luka w wiarygodności (ang. Credibility Gap) przeprowadzonym przez Trend Micro, można znaleźć na stronie: https://www.trendmicro.com/explore/thecisocredibilitygap/2608-tl-en-rpt
Ponad połowa liderów ds. bezpieczeństwa twierdzi, iż zagrożenia cyberbezpieczeństwa mają największy wpływ na ryzyko biznesowe. Nie udaje im się jednak zakomunikować tego ryzyka w języku zrozumiałym dla zarządu. W rezultacie są ignorowani, lekceważeni i oskarżani o zbytnie narzekanie. Dopóki szefowie działów bezpieczeństwo nie będą mieli większego wpływu na decyzje w ich obszarze, nie ma mowy o budowaniu cyberodporności organizacji. Pierwszym krokiem jest zbudowanie jednej bazy wiedzy o powierzchni organizacji narażonej na atak – podkreśla Joanna Dąbrowska CEE Cybersecurity Platform Leader w Trend Micro.
Spośród liderów ds. bezpieczeństwa, którzy znaleźli się pod presją ze strony zarządu, aż 43% twierdzi, iż dzieje się tak dlatego, iż są postrzegani jako powtarzalni lub irytujący, 42% odczuwa, iż ich podejście jest uznawane za zbyt negatywne. Dodatkowa jedna trzecia respondentów (33%) twierdzi, iż ich wnioski zostały odrzucone bez zastanowienia.
Wskazuje to na poważną lukę w wiarygodności, ściśle związaną z niezdolnością do przedstawienia cyberbezpieczeństwa jako ryzyka biznesowego, a nie tylko informatycznego. Aż 46% respondentów podało, iż gdy tylko byli w stanie zaprezentować mierzalną wartość biznesową swojej strategii dotyczącej cyberbezpieczeństwa, zaczęli być postrzegani jako bardziej przekonujący.
Inne korzyści płynące z tego podejścia obejmują to, iż liderzy bezpieczeństwa:
- Czują większą odpowiedzialność (45%)
- Ich rola postrzegana jest jako cenniejsza (44%)
- Otrzymują większy budżet (43%)
- Zostali włączeni do procesu podejmowania decyzji na wyższym szczeblu (41%)
Istnieje jednak ciągła luka w komunikacji pomiędzy szefami IT a kierownictwem biznesowym.
Tylko połowa (54%) respondentów jest przekonana, iż ich kadra kierownicza w pełni rozumie zagrożenia cybernetyczne stojące przed organizacją – co interesujące liczba ta prawie nie zmieniła się od 2021 r. (50%). Ponad jedna trzecia (34%) respondentów twierdzi, iż cyberbezpieczeństwo jest przez cały czas traktowane jako część ryzyka informatycznego, a nie biznesowego.
Ponadto 80% uważa, iż tylko poważne naruszenie zmotywowałoby zarząd do bardziej zdecydowanych działań w zakresie ryzyka cybernetycznego.
Zróżnicowane, niejednorodne środowisko cyberbezpieczeństwa może potęgować te wyzwania. Wyspowe mechanizmy bezpieczeństwa dostarczają informacji w postaci odrębnych zbiorów, co może utrudniać przedstawienie zarządowi jasnej informacji o ryzyku cybernetycznym – dodaje Joanna Dąbrowska.
Ponad połowa (58%) respondentów uważa, iż w celu naprawienia tej sytuacji konieczne będzie zwiększenie umiejętności w zakresie komunikacji IT. Jednak ujednolicona platforma zarządzania ryzykiem powierzchni ataku (ang. Attack Surface Risk Management, ASRM) może wyeliminować potrzebę tak dużych inwestycji, zapewniając spójny i przekonujący wgląd w ryzyko (np. w formie pulpitu nawigacyjnego).
Współzałożyciel OpenAI, Ilya Sutskever, odchodzi z firmy