"עייפות סייבר" בהנהלות: מחקר - יש פערי תפיסות בין חברי הנהלה ובין מובילי האבטחה
מאת:
מערכת Telecom News, 12.7.17, 17:36
סקר בקרב 600 חברי הנהלות, מנהלי אבטחה ראשיים (CISO) ומומחים אחרים בתחום האבטחה הארגונית גילה פערי תפיסות משמעותיים התורמים ל"עייפות סייבר" של חברי ההנהלה. מהן ההמלצות?
IBM חשפה ממצאי מחקר הבוחן את ההבדל בין התפיסות הרווחות בקרב חברי הנהלות ובין מנהלי האבטחה בארגונים בכל הנוגע לאבטחת סייבר, ומצביע על פערי תפיסות משמעותיים התורמים ל"עייפות סייבר" של חברי ההנהלה. הדו"ח, שהוכן ע"י מכון
IBM לערך עסקי (
IBV) נשען על סקר בקרב 300 חברים בהנהלות הבכירות של ארגונים ו-300 מנהלי אבטחה ובכירים בתחום, כדי לזהות ניגודים ופערים בתפיסות בין הקבוצות האלה והוא מעלה, שחברי הנהלה מציגים רמה כפולה של ביטחון בהשוואה לאנשי האבטחה בכל הנוגע למצב האבטחה הארגונית.
רוב ברור של מנהלי אבטחה וחברי הנהלות בארגונים - 75% מסכימים, שבשנתיים האחרונות התרחבה מעורבות מועצות המנהלים בכל הנוגע לאבטחה. לעומת זאת, מגלה המחקר שורת אתגרים במסגרת היחסים והקשר בין אנשי הנהלה ומנהלי אבטחה: כשני שליש מחברי ההנהלות, שהשתתפו בסקר, ביטאו עייפות לנוכח העיסוק בנושאי סייבר, כמות הבקשות, התוכניות והדרישות בתחום.
60% מחברי ההנהלות מאמינים, שעלויות אבטחת הסייבר "יצאו משליטה", ונוטים להתייחס לאבטחה כאל הוצאה במקום ככלי ליצירת יתרון תחרותי.
כשני שלישים מחברי ההנהלות (65%) אומרים, שהם חווים "עייפות סייבר" כתוצאה מבקשות רבות מדי למשאבים, מספר גדול מדי של תוכניות בתחום, והשקעה גדולה מדי של זמן ואנרגיה מצידם.
הצגת ההחזר על ההשקעה בתחום האבטחה בפני חברי ההנהלה נותרת אתגר, גם אם שורת מחקרים מעלים, שחברות הערוכות טוב יותר לאירועי אבטחה נהנות מחיסכון משמעותי במקרים של אירועי פריצה וזליגת נתונים.
על בסיס הסקר החדש, מזהים בחברה שורת תחומים בהם מומלץ לחברי ההנהלה ולמנהלי האבטחה הארגונית להתמקד. בין השאר, על חברי הנהלה להיות מעורבים יותר בתהליכי האבטחה ולהתנסות בהם ברמה אישית. השתתפות חברי הנהלה בתרגולות סייבר מאפשרת להם להבין את תפקידם במקרה של מתקפה.
בנוסף, מנהלי אבטחה צריכים לספק לחברי ההנהלה תמונה מלאה בשפה הארגונית ובכך לסייע לחברי ההנהלה להבין את רמת המוכנות של הארגון בתחום הסייבר בהשוואה למתחרים ולשאר השוק העולמי.
חברי הנהלה ומובילי האבטחה בארגונים חייבים לנהל דיאלוג אודות ההשפעות הפיננסיות של אבטחת סייבר ולהבין, שמדובר בהוצאה הכרחית: מובילי תחום האבטחה בארגונים יכולים להביא ערך כלכלי מוסף בזכות האפשרות לשפר את הקשר עם הלקוחות ולצמצם את הסיכונים במיזמים חדשים.
יחד עם זאת, מנהלי אבטחה צריכים להקפיד לעדכן את חברי ההנהלה גם מחוץ לישיבות ההנהלה מבלי להציף אותם בחומר. יש להיעזר בכלים המשפרים את הנגישות לחומר כדי לאפשר דיאלוג מתמיד ולהציג בפני ההנהלה תמונה מקיפה של סיכוני הסייבר והדרכים למזעורם.
דיוויד ג'ארביס, מנהל תחום האבטחה ב-
IBV: "ככל שארגונים מעלים את סוגיות האבטחה לראש סדר יומם לנוכח מתקפות הסייבר חסרות התקדים אותן חווינו לאחרונה, יהפכו הקשרים בין חברי הנהלות ובין מנהלי תחום האבטחה לקריטיים. עסקים, שמסוגלים לגייס רמה מעמיקה יותר של מעורבות ההנהלה, לרבות התנסות בפועל של חברי ההנהלה בתרגולות סייבר, תקשורת ברמה אסטרטגית, והתמקדות בערך העסקי של האבטחה, תהיינה מוכנות יותר לתת תגובה למתקפות".