وسط الهجمات ، ceos في الظلام حول الأمن السيبراني

عندما يتعلق الأمر بالأمن ، فإن الرؤساء التنفيذيين ليس لديهم أدنى فكرة عما يحدث داخل مؤسساتهم. لذلك وجد تقرير معهد بونيمون الذي صدر هذا الأسبوع والذي درس كيف تستعد المنظمات للحوادث الأمنية وتستجيب لها. قال 80٪ من المشاركين في الاستطلاع إنهم "لم يتواصلوا بشكل متكرر" مع الإدارة التنفيذية بشأن هجمات إلكترونية محتملة تهدد المنظمة. يمتد هذا إلى الرئيس التنفيذي ويشمل مجموعة C بالكامل (CIO ، CSO ، COO ، CTO ، إلخ).

قال مايك بوتس ، الرئيس والمدير التنفيذي لشركة لانكوب ، لـ هيومن رايتس ووتش: "لقد كانت مفاجأة أن المعلومات لم تصل إلى جناح سي". وأضاف "نتحدث عن هذه الأشياء طوال الوقت".

تنفق الشركات ملايين الدولارات على منتجات وخدمات أمنية وما زالت تتعرض للانتهاك ، وفقًا لما ذكره لانكوب ، الذي كلف الدراسة. في الواقع ، قال غارتنر إن 67 مليار دولار تم إنفاقها على منتجات أمن تكنولوجيا المعلومات على مستوى العالم في عام 2013. ومع ذلك ، تُسرق الملكية الفكرية بقيمة 250 مليار دولار من الشركات كل عام. أين هو قطع الاتصال؟

لا تحديثات منتظمة

وقال بوتس إن العديد من المديرين التنفيذيين قد ينظرون في كل الإنفاق الأمني ​​ويفكرون ، "لقد حصلت على كل هذه الأشياء ، لقد انتهيت". إذا لم يتلقوا تحديثات ومعلومات منتظمة حول الموقف الأمني ​​العام للمؤسسة ، فلا يوجد سبب لمراجعة طريقة العرض هذه. ولكن هذا ليس كيف ينبغي أن يكون. وقال بوتس "السيناريو الحالي لم يتم ضبطه ونسيانه".

بينما لم يسأل الاستبيان عن سبب عدم قيام موظفي تقنية المعلومات بإثارة المشكلات مع C-suite ، اقترح بوتس أن المشكلة قد تتعلق بكيفية قياس الأمن داخل المنظمة. قال نصف المجيبين أنهم ليس لديهم مقاييس لقياس فعالية قدراتهم على الاستجابة للحوادث. هذا يعني أنهم غير قادرين على ترجمة التهديدات والمشاكل إلى لغة يستطيع كبار المديرين التنفيذيين -الذين يشعرون بالقلق من إجمالي الأعمال- فهمهم أو العمل معهم.

وقال بوتس إنه من المحتمل أيضًا أنه حتى لو حدثت مناقشات حول الأمن ، فإن المديرين التنفيذيين كانوا يتلقون نسخة مخففة للغاية من المشكلات.

"حان الوقت الآن للمديرين التنفيذيين على مستوى C وصناع القرار في مجال تكنولوجيا المعلومات للالتقاء وتطوير خطط أقوى وأكثر شمولًا للاستجابة للحوادث. يعد هذا الاتصال أمرًا ضروريًا إذا أردنا تقليل التكرار المذهل لانتهاكات البيانات الكبيرة والشركات الضارة الخسائر التي نراها في وسائل الإعلام على أساس شبه يومي ".

الأمور المالية

جزء من المشكلة هو مشكلة الاستثمار. قال نصف المشاركين في الاستطلاع إن أقل من 10 بالمائة من ميزانية الأمن الإجمالية المخصصة للاستجابة للحوادث ، وعلى الرغم من تزايد وتيرة الهجمات والتهديدات ، قال معظمهم إنهم لم يرفعوا هذا المخصص في العامين الماضيين.

يبدو الأمر معقولا. إذا لم يدرك المسؤولون التنفيذيون على مستوى C المخاطر والتهديدات ، فلن يقوموا بتحديد أولويات الميزانية. إذا علم المسؤولون التنفيذيون أن الخسائر أو الأضرار المحتملة ستكون كبيرة إلى حد ما ، فيمكنهم التصرف وفقًا لسد هذه الفجوة. وقال بوتس إن المديرين التنفيذيين بحاجة إلى "امتلاك المعلومات الصحيحة للقيام بالاستثمارات الصحيحة".

الحاجة للتغيير

قال حوالي 68 في المائة من المجيبين إن مؤسساتهم قد تعرضت لخرق بيانات أو حادث أمني آخر خلال العامين الماضيين. من بين هذه المجموعة ، قال ما يقرب من نصف أو 46 في المائة من المجيبين إن حادثة أخرى كانت "وشيكة" ويمكن أن تحدث في غضون الأشهر الستة المقبلة. هذا أمر خطير ، وواضح ، يجب أن تهتم مجموعة C بالعمل مع تقنية المعلومات للتأكد من اتخاذ الخطوات اللازمة ، أليس كذلك؟

ليس وفقًا للمسح ، لأن غالبية 674 متخصصًا في تكنولوجيا المعلومات والأمن في الاستطلاع ادعوا أنهم لم يصعدوا هذه القضايا أو ترك كبار المسؤولين التنفيذيين يعرفون ما الذي يلوح في الأفق. يجعلك تتساءل عن مدى معرفة الرئيس التنفيذي لشركة Target قبل أن يتم توجيهه إلى دائرة الضوء الوطنية وطلب منه مناقشة الاختراق ، أليس كذلك؟

كان بوتس يأمل في أن يكون خرق البيانات في Target وتجار التجزئة الآخرين بمثابة دعوة للاستيقاظ للآخرين. وقال بوتس إن "الهدف" سيغير طريقة تواصل المنظمات و "يسهل إخبار مجموعة C عن المشكلات الأمنية".

انقر لرؤية الصورة كاملة