אבטחת מידע ארגונית
רק שליש מהארגונים מריצים פעילות אבטחת סייבר מסביב לשעון
מחקר של Trend Micro חושף כי בקרב חברות רבות ישנם פערי אבטחה גדולים הנובעים מחוסר מנהיגות מצד צמרת הארגון להעניק למנהלי הסייבר את הכלים המספקים לשמירה על המידע הארגוני.
Trend Micro, מובילה עולמית בתחום אבטחת הסייבר, פרסמה מחקר החושף כי ארגונים גלובליים רבים סובלים מהיעדר משאבים ותמיכת הנהלה שדוחפת לבדיקה והפחתת סיכונים במערכות הארגון.
המחקר של Trend Micro מתבסס על סקר שערכה החברה בקרב 2,600 מנהלי IT גלובליים האחראים על אבטחת סייבר בארגונים קטנים, בינוניים וגדולים. מטרת המחקר היתה להבין טוב יותר את עמדותיהם של הנשאלים כלפי ניהול סיכוני משטחי תקיפה (ASRM).
מתוך הנתונים עולה כי קיימים שלושה פערים עיקריים בחוסנן של חברות בתחום אבטחת המידע: רק 36% מהמשיבים העידו כי יש להם כוח אדם ומשאבים מספקים על מנת לתפעל מערך הגנה הפועל 24/7 במשך 365 ימים בשנה; 35% בלבד העידו כי הם עושים שימוש בטכניקות לניהול משטח התקפה המסייעות להם להעריך ולנתח את הסיכונים של משטח התקיפה. במקביל, רק 34% העידו כי בארגונם מיישמים וממלאים בקפדנות אחרי רגולציות מוכחות ואחרות כמו מסגרת אבטחת הסייבר של NIST.
נתונים אלו מלמדים על בעיה משמעותית באימוץ יסודות אבטחת מידע מספקים לאיומי האבטחה כיום. כישלון זה של רוב החברות הגלובליות עשוי לנבוע מחוסר קבלת החלטות התואם לצרכים כיום של מנהלים בכירים והבנת אחריותם. כמחצית (48%) מהנשאלים טענו כי צמרת הארגון שלהם אינה רואה באבטחת סייבר את אחריותם, כאשר רק 17% לא הסכימו עם אמירה זו.
כשנשאלו מי נושא או צריך לשאת באחריות להפחתת הסיכון העסקי, השיבו הנשאלים מגוון תשובות, המעידות על חוסר בהירות בקווי הדיווח. כמעט שליש (31%) אמרו שהתקציבים הנדרשים לא מגיעים מצוותי ה- IT הארגוניים.
חוסר כיוון ברור זה לגבי אסטרטגיית אבטחת סייבר עשוי להיות הסיבה לכך שיותר ממחצית (54%) מהמשיבים הגלובליים התלוננו כי גישת הארגון שלהם לסיכוני סייבר אינה עקבית ומשתנה מחודש לחודש.
בהראט מיסטרי, מנהל טכני ב Trend Micro: "היעדר מנהיגות ברורה בנושא אבטחת סייבר יכול להיות בעל השפעה משתקת על הארגון – מה שמוביל לקבלת החלטות תגובתית, חלקית ולא יציבה. חברות זקוקות למנהלי אבטחת מידע כדי לתקשר בבירור במונחים של סיכון עסקי כדי לערב את הדירקטוריונים שלהן. באופן אידיאלי, צריך להיות להם מקור מידע אמין ויחיד אודות משטח התקיפה שממנו יוכלו לשתף עדכונים עם הדירקטוריון, לנטר סיכונים באופן רציף ולתקן בעיות באופן אוטומטי לשיפור עמידות הסייבר בארגון".