Vídeo: Una gota enmig d'un oceà d'indiferència: PuntBCN 2018 (Setembre 2024)
Quan es tracta de seguretat, els consellers delegats no tenen ni idea del que està passant a les seves organitzacions. Així, es va trobar un informe de l’Institut Ponemon publicat aquesta setmana on s’examinava com es preparen i responien les organitzacions per als incidents de seguretat. El 80 per cent dels enquestats va dir que no van comunicar-se "freqüentment" amb la direcció executiva sobre possibles ciberatacs que amenacessin l'organització. S’estén més enllà del CEO i abasta tota la suite C (CIO, CSO, COO, CTO, etc.).
Va ser sorprenent que "la informació simplement no arribi a la suite C", va dir a Security Watch Mike Potts, president i conseller delegat de Lancope. "Parlem d'aquestes coses tot el temps", va afegir.
Les empreses gasten milions de dòlars en productes i serveis de seguretat i continuen incomplint-se, segons Lancope, que va encarregar l'estudi. De fet, Gartner va dir que es van gastar 67.000 milions de dòlars en productes de seguretat informàtica a nivell mundial el 2013. Tot i això, les propietats intel·lectuals roben 250 milions de dòlars de propietat intel·lectual cada any. On és la desconnexió?
No hi ha actualitzacions periòdiques
Molts executius poden mirar tota la despesa en seguretat i pensar: "Tinc totes aquestes coses, he acabat", va dir Potts. Si no reben actualitzacions periòdiques i informació sobre la posició general de seguretat de l'organització, no hi ha cap motiu per revisar aquesta visió. Però no ha de ser així. "L'escenari actual no està" definit i oblidat ", va dir Potts.
Si bé l'enquesta no va preguntar per què el personal informàtic no plantejava problemes amb la suite C, Potts va suggerir que el problema podria estar relacionat amb la mesura de la seguretat dins de l'organització. La meitat dels enquestats va dir que no tenia mètriques per mesurar l'efectivitat de les seves capacitats de resposta a incidents. Això significa que no són capaços de traduir les amenaces i problemes en un llenguatge que els executius sèniors, preocupats pel negoci general, poden comprendre o treballar.
També és molt probable que, fins i tot si es van produir debats sobre seguretat, els executius rebien una versió molt "desgastada" dels problemes, va dir Potts.
"Ara és el moment perquè els executius del nivell de C i els responsables de les TI es reuneixin i desenvolupin plans més forts i més complets de resposta a incidents. Aquesta comunicació és fonamental si volem reduir la sorprenent freqüència d’incompliments de dades d’alt perfil i danys corporatius. Les pèrdues que veiem als mitjans de comunicació gairebé diàriament ", va dir Potts.
Afers de diners
Una part del problema és una qüestió d’inversions. La meitat dels enquestats de l'enquesta va dir que menys del 10 per cent del seu pressupost global de seguretat es destina a resposta a incidents i, malgrat el ritme creixent d'atacs i amenaces, la majoria va dir que no ha augmentat aquesta assignació en els últims dos anys.
Que té sentit. Si els executius del nivell C no s'adonen dels riscos i les amenaces, no prioritzaran el pressupost. Si els executius saben que la pèrdua o el dany potencial seran prou grans, pot actuar en conseqüència per tancar aquesta bretxa. Potts ha assegurat que els executius "tinguin la informació adequada per realitzar les inversions correctes".
Necessitat de canviar
Al voltant del 68 per cent dels enquestats va dir que les seves organitzacions havien experimentat un incompliment de dades o algun altre incident de seguretat en els darrers dos anys. D'aquest grup, gairebé la meitat, o el 46 per cent, dels enquestats va dir que un altre incident va ser "imminent" i que podria produir-se als propers sis mesos. Això és seriós i, clarament, la suite C hauria d’estar preocupada i treballar amb les TI per assegurar-se que es facin els passos necessaris, oi?
No segons l’enquesta, perquè la majoria dels 674 professionals de la informàtica i la seguretat de l’enquesta van afirmar que no estaven escalant aquests problemes ni que van fer saber als executius superiors el que tenia lloc. Et fa preguntar-se quant sabia el CEO de Target abans de ser atès al punt de mira nacional i li ha demanat discutir l’incompliment?
Potts esperava que l’incompliment de dades a Target i altres minoristes actuï com a despertador d’altres. Potser Target canviarà la manera com les organitzacions es comuniquen i "facilitarà la informació de la suite C sobre problemes de seguretat", va dir Potts.
Feu clic per veure la imatge completa
