Video: Amid supply worry over Saudi attacks, NDA minister meets Russia oil firm CEO (November 2024)
Als het op beveiliging aankomt, hebben CEO's geen idee wat er speelt in hun organisaties. Dus vond een rapport van het Ponemon Institute dat deze week werd uitgebracht en onderzocht hoe organisaties zich voorbereiden op en reageerden op beveiligingsincidenten. Maar liefst 80 procent van de respondenten zei dat ze niet "vaak" communiceerden met het uitvoerend management over mogelijke cyberaanvallen die de organisatie bedreigden. Dit gaat verder dan de CEO en omvat de volledige C-suite (CIO, CSO, COO, CTO, enz.).
Het was verrassend dat "de informatie gewoon niet bij de C-suite komt", vertelde Mike Potts, president en CEO van Lancope, aan Security Watch. "We praten er altijd over, " voegde hij eraan toe.
Bedrijven geven miljoenen dollars uit aan beveiligingsproducten en -services en worden nog steeds overtreden, volgens Lancope, die opdracht gaf aan de studie. Gartner zei zelfs dat in 2013 wereldwijd 67 miljard dollar werd uitgegeven aan IT-beveiligingsproducten. Toch wordt elk jaar voor 250 miljard dollar aan intellectueel eigendom van bedrijven gestolen. Waar is de verbreking?
Geen regelmatige updates
Veel leidinggevenden kunnen kijken naar alle beveiligingsuitgaven en denken: "Ik heb al deze dingen, ik ben klaar, " zei Potts. Als ze geen regelmatige updates en informatie ontvangen over de algemene beveiligingspositie van de organisatie, is er geen reden om die mening te herzien. Maar zo zou het niet moeten zijn. "Het huidige scenario is niet 'ingesteld en vergeten', " zei Potts.
Hoewel de enquête niet vroeg waarom IT-personeel de problemen met de C-suite niet aan de orde stelde, suggereerde Potts dat het probleem te maken kan hebben met de manier waarop beveiliging binnen de organisatie wordt gemeten. De helft van de respondenten zei dat ze geen statistieken hadden om de effectiviteit van hun incidentresponsmogelijkheden te meten. Dit betekent dat ze de bedreigingen en problemen niet kunnen vertalen in taal waarmee de senior executives - bezorgd over de hele onderneming - kunnen begrijpen of ermee kunnen werken.
Het is ook zeer waarschijnlijk dat, zelfs als de discussies over beveiliging plaatsvonden, dat leidinggevenden een zeer "verwaterde" versie van de problemen ontvingen, zei Potts.
"Nu is het tijd voor C-level executives en IT-beslissers om samen te komen en sterkere, uitgebreidere plannen voor incidentrespons te ontwikkelen. Deze communicatie is van cruciaal belang als we de verbazingwekkende frequentie van spraakmakende datalekken en beschadigende bedrijven willen verminderen. verliezen die we in de media bijna dagelijks zien, "zei Potts.
Geld doet ertoe
Een deel van het probleem is een investeringsprobleem. De helft van de respondenten in de enquête zei dat minder dan 10 procent van hun totale beveiligingsbudget is bestemd voor incidentrespons, en ondanks het toenemende tempo van aanvallen en bedreigingen, zeiden de meeste dat ze die toewijzing in de afgelopen twee jaar niet hebben verhoogd.
Het is logisch. Als de leidinggevenden op C-niveau zich niet realiseren wat de risico's en bedreigingen zijn, stellen ze geen prioriteit aan het budget. Als de leidinggevenden weten dat het potentiële verlies of de schade behoorlijk groot zal zijn, kunnen ze dienovereenkomstig handelen om die kloof te dichten. Leidinggevenden moeten "over de juiste informatie beschikken om de juiste investeringen te doen", aldus Potts.
Moet veranderen
Ongeveer 68 procent van de respondenten zei dat hun organisaties de afgelopen twee jaar een datalek of een ander beveiligingsincident hadden meegemaakt. Van die groep zei bijna de helft of 46 procent van de respondenten dat een ander incident "dreigend" was en binnen de komende zes maanden zou kunnen gebeuren. Dit is serieus en duidelijk, de C-suite moet bezorgd zijn en samenwerken met IT om ervoor te zorgen dat de nodige stappen worden genomen, toch?
Niet volgens de enquête, omdat de meerderheid van de 674 IT- en beveiligingsprofessionals in de enquête beweerde dat ze deze kwesties niet escaleerden of de senior executives niet lieten weten wat er opdook. Je vraagt je af hoeveel de CEO van Target wist voordat hij in de nationale schijnwerpers werd gezet en gevraagd om de inbreuk te bespreken, nietwaar?
Potts hoopte dat de datalek bij Target en andere retailers als een wake-up call voor anderen zou fungeren. Misschien zal Target de manier veranderen waarop organisaties communiceren en "het de C-suite gemakkelijk maken om beveiligingsproblemen te melden, " zei Potts.
Klik om de volledige afbeelding te zien
