Video: Det mest forhadte job i fodbold: Kom med dommeren på arbejde (Oktober 2024)
Når det kommer til sikkerhed, har administrerende direktører ingen anelse om, hvad der foregår i deres organisationer. Så fandt en rapport fra Ponemon Institute frigivet denne uge, hvor man undersøgte, hvordan organisationer forberedte sig på og reagerede på sikkerhedshændelser. 80 pct. Af respondenterne svarede, at de ikke "ofte kommunikerede" med den udøvende ledelse om potentielle cyberangreb, der truer organisationen. Dette strækker sig ud over CEO og omfatter hele C-suite (CIO, CSO, COO, CTO osv.).
Det var overraskende, at "informationen bare ikke kommer op til C-suiten, " fortæller Mike Potts, præsident og administrerende direktør for Lancope, til Security Watch. ”Vi taler om det hele tiden, ” tilføjede han.
Virksomheder bruger millioner af dollars på sikkerhedsprodukter og -tjenester og bliver stadig krænket, ifølge Lancope, der bestilte undersøgelsen. Faktisk sagde Gartner, at 67 mia. Dollars blev brugt på it-sikkerhedsprodukter globalt i 2013. Alligevel stjæles intellektuel ejendom af 250 mia. Dollars hvert år fra virksomheder. Hvor er frakoblingen?
Ingen regelmæssige opdateringer
Mange ledere ser måske på alle sikkerhedsudgifter og tænker, "Jeg har alle disse ting, jeg er færdig, " sagde Potts. Hvis de ikke modtager regelmæssige opdateringer og oplysninger om organisationens samlede sikkerhedsposition, er der ingen grund til at revidere dette synspunkt. Men det er ikke, hvordan det skal være. "Det nuværende scenarie er ikke 'indstillet og glemt, '" sagde Potts.
Mens undersøgelsen ikke spurgte, hvorfor it-personale ikke rejste problemerne med C-suiten, antydede Potts, at problemet kan være relateret til, hvordan sikkerhed måles i organisationen. Halvdelen af de adspurgte sagde, at de ikke havde nogen målinger til at måle effektiviteten af deres evner til at reagere på hændelser. Dette betyder, at de ikke er i stand til at oversætte truslerne og problemerne til sprog, som ledende medarbejdere - bekymret for den samlede forretning - kan forstå eller arbejde med.
Det er også meget sandsynligt, at selv om diskussionerne om sikkerhed skete, at ledere modtog en meget "udvandet" version af problemerne, sagde Potts.
"Nu er det tid for ledere på C-niveau og it-beslutningstagere at mødes og udvikle stærkere, mere omfattende planer for hændelsesrespons. Denne kommunikation er kritisk, hvis vi vil reducere den forbløffende hyppighed af højprofilerede dataforbrud og ødelægge virksomhedernes tab, vi ser i medierne næsten dagligt, ”sagde Potts.
Penge betyder noget
En del af problemet er et investeringsproblem. Halvdelen af de adspurgte i undersøgelsen sagde, at mindre end 10 procent af deres samlede sikkerhedsbudget er øremærket til hændelsesrespons, og til trods for det stigende tempo i angreb og trusler sagde de fleste, at de ikke har øget tildelingen i de sidste to år.
Det giver mening. Hvis ledere på C-niveau ikke er klar over, hvad risici og trusler er, så prioriterer de ikke budgettet. Hvis lederne ved, at det potentielle tab eller skade vil være temmelig stort, kan de handle i overensstemmelse hermed for at lukke dette hul. Ledere skal "have de rigtige oplysninger for at foretage de rigtige investeringer, " sagde Potts.
Behov for at ændre
Cirka 68 procent af de adspurgte sagde, at deres organisationer havde oplevet en dataovertrædelse eller en anden sikkerhedshændelse i de sidste to år. Af denne gruppe sagde næsten halvdelen eller 46 procent af de adspurgte, at en anden hændelse var "forestående" og kunne ske inden for de næste seks måneder. Dette er alvorligt, og tydeligvis bør C-suite være bekymret og arbejde med IT for at sikre, at der tages nødvendige skridt, ikke?
Ikke ifølge undersøgelsen, fordi flertallet af 674 it- og sikkerhedsfagfolk i undersøgelsen hævdede, at de ikke eskalerer disse spørgsmål eller lade de seniorledere vide, hvad der truede. Gør du undrer dig over, hvor meget Target CEO vidste, før han blev kastet ind i det nationale rampelys og bedt om at diskutere overtrædelsen, ikke sandt?
Potts håbede, at dataovertrædelsen hos Target og andre detailhandlere ville fungere som en wake-up call for andre. Måske vil Target ændre, hvordan organisationer kommunikerer, og "gør det let at fortælle C-suiten om sikkerhedsproblemer, " sagde Potts.
Klik for at se det fulde billede
