מנהלים בכירים בארגונים לא מוכנים להטמעת תקני אבטחת המידע החדשים GDRP
מאת:
מערכת Telecom News, 6.9.17, 11:31
התקנים החדשים General Data Protection Regulation ייכנסו לתוקף ב-25.5.18.
עם כניסת תקני אבטחת המידע החדשים
GDPR (שהם בעצם "הנחיות רגולציה" או "דירקטיבה" במושגים הרגולטוריים האירופאיים) לתוקף ב-25.5.18, עסקים בכל העולם צריכים להיות מוכנים להטמעתם. אולם, לאור תוצאות מחקר, שעשתה מחלקת המחקר של
Trend Micro לפתרונות סייבר ואבטחת מידע, יצרנית פתרונות אבטחת מידע לזיהוי, חסימה ותחקור התקפות
APT/Zero Day בארגונים (
(On-Premise ובענן, מנהלי ארגונים אינם מתייחסים ברצינות יתרה לרגולציה המעודכנת ובשל כך לא יהיו מוכנים לעמוד בתקינה החדשה.
מודעות ל-GDPR
המחקר מגלה, שישנה מודעות לתקני
GDPR החדשים עם 95% מהמנהלים העסקיים שדיווחו, שהם יודעים, שעליהם להתאים את הארגון, שהם מובילים, לתקנות החדשות ו-85% מהם בדקו מה נדרש מהם. בנוסף, 79% מהעסקים דיווחו, שהם בטוחים, שהמידע שלהם בטוח ככל שניתן.
למרות המודעות הכללית לתקינה קיים חוסר בהירות לגבי סוג המידע אישי מזהה
PII) ) עליו יש להגן.
64% מהנשאלים לא היו מודעים לכך, שתאריך הלידה של לקוח נחשב למידע אישי מזהה הזקוק להגנה.
42% מהנשאלים לא סיווגו בסיס נתונים, שמקורו בקמפיין אי מיילים שיווקי, כמידע אישי מזהה הזקוק להגנה.
32% מהנשאלים לא ראו בכתובת פיזית מידע אישי מזהה.
21% לא החשיבו כתובת מייל של לקוחות כמידע אישי מזהה הזקוק להגנה.
תוצאות אלו מצביעות על העובדה, שארגונים אינם מוכנים למתקפות ואינם מוגנים כפי שהם חושבים, שהם מוגנים.
המחיר שנשלם עבור חוסר המוכנות
עפ"י המחקר, 66% מהנשאלים נראים אדישים למחיר שישלמו עבור חוסר המוכנות שלהם ואי העמידה בתקנות.
רק 33% מודעים לכך, שישלמו עד 4% מההכנסה השנתית שלהם עבור חוסר המוכנות שלהם.
66% מהנשאלים מאמינים, שהנזק המשמעותי, שיגרם להם במקרה של פריצה זדונית, הוא הנזק למוניטין ולמותג שלהם.
46% מהם טוענים, שזה יהיה הנזק הגדול בקרב לקוחות קיימים שלהם.
גישה זו בעייתית מאוד לנוכח העובדה, שעסקים יכולים להסגר כליל בעקבות פריצה זדונית.
שותפים אחראים
ממצאים נוספים של המחקר מראים, שארגונים לא יודעים מי אחראי על אובדן מידע אירופאי ע"י ספק פתרונות אמריקאי:
רק 14% יכלו לזהות נכונה כי האחריות לאובדן המידע מושתתת על 2 הצדדים.
51% סברו, שהקנס צריך להיות מוגש לאירופאים.
24% חשבו כי ספק השירות האמריקאי אשם.
בנוסף התברר, שארגונים אינם בטוחים מי צריך להיות אחראי על התאמת הארגון לתקנות:
31% מהנשאלים השיבו, שזאת האחריות של המנכ"ל.
27% סברו, שזאת האחריות של מנהל אבטחת המידע (
CISO) וצוותו.
רק 21% השיבו, שיש בארגונם מנהל בכיר המעורב בהתאמת הארגון לתקנות החדשות.
65% השיבו, שמחלקת ה-
IT לקחה את ההובלה בפרויקט.
22% ארגונים בלבד השיבו, שחבר הנהלה או מנהל בכיר מעורב.
הדרישות הטכנולוגיות
כאשר כמות ורמת תחכום האיומים מתגברות, חסר לרוב לארגונים הניסיון והידע להתמודד איתם ולכן נדרשת הגנה מרובת שכבות.
התקנות החדשות (
GDPR) קובעות, שארגונים חייבים ליישם את ההגנה הטובה והמקיפה ביותר המתאימה לרמת האיומים. למרות זאת:
רק 34% התקינו יכולות מתקדמות לגילוי פריצות.
33% השקיעו בטכנולוגיות למניעת זליגת מידע.
31% הטמיעו טכנולוגיות הצפנה.
ריק פרגוסון, סגן נשיא למחקר ב-
Trend Micro: "השקעה באמצעי ההגנה הטובים ביותר והפעלה של מדיניות הגנה על המידע הרגיש של הארגון, צריכים להיחשב כדבר החכם לעשותו ולא כעול תפעולי".