ท่ามกลางการโจมตีทำให้เกิดความมืดมนเกี่ยวกับความปลอดภัยทางไซเบอร์

เมื่อพูดถึงเรื่องการรักษาความปลอดภัยแล้วซีอีโอจะไม่ทราบว่าเกิดอะไรขึ้นภายในองค์กรของพวกเขา ดังนั้นจึงพบรายงาน Ponemon Institute ที่เผยแพร่ในสัปดาห์นี้ซึ่งตรวจสอบว่าองค์กรเตรียมและรับมือกับเหตุการณ์ด้านความปลอดภัยอย่างไร ผู้ตอบแบบสอบถาม 80% ระบุว่าพวกเขาไม่ได้ "สื่อสารกันบ่อย ๆ " กับผู้บริหารระดับสูงเกี่ยวกับการโจมตีทางไซเบอร์ที่อาจคุกคามองค์กร สิ่งนี้ขยายเกินกว่า CEO และครอบคลุม C-suite ทั้งหมด (CIO, CSO, COO, CTO, ฯลฯ )

มันน่าแปลกใจที่“ ข้อมูลไม่สามารถเข้าถึง C-suite ได้” Mike Potts ประธานและซีอีโอของ Lancope กล่าวกับ Security Watch “ เราพูดถึงสิ่งนี้ตลอดเวลา” เขากล่าวเสริม

บริษัท ต่างๆใช้จ่ายเงินหลายล้านดอลลาร์ไปกับผลิตภัณฑ์และบริการด้านความปลอดภัยและยังคงได้รับความเสียหาย ในความเป็นจริงการ์ตเนอร์กล่าวว่ามีการใช้จ่าย $ 67 พันล้านดอลลาร์ในผลิตภัณฑ์ด้านความปลอดภัยไอทีทั่วโลกในปี 2556 แต่ทรัพย์สินทางปัญญามูลค่า 250 พันล้านดอลลาร์ถูกขโมยจาก บริษัท ในแต่ละปี การเชื่อมต่ออยู่ที่ไหน

ไม่มีการอัพเดทปกติ

ผู้บริหารหลายคนอาจมองการใช้จ่ายด้านความปลอดภัยและคิดว่า "ฉันได้รับทุกอย่างมาแล้ว" Potts กล่าว หากพวกเขาไม่ได้รับการปรับปรุงปกติและข้อมูลเกี่ยวกับท่าทางความปลอดภัยโดยรวมขององค์กรก็ไม่มีเหตุผลที่จะแก้ไขมุมมองนั้น แต่นั่นไม่ใช่วิธีที่ควรจะเป็น "สถานการณ์ปัจจุบันไม่ได้ 'ตั้งค่าและลืม'" Potts กล่าว

ในขณะที่การสำรวจไม่ได้ถามว่าทำไมบุคลากรไอทีไม่ได้แจ้งปัญหากับ C-suite แต่ Potts เสนอว่าปัญหาอาจเกี่ยวข้องกับการวัดความปลอดภัยภายในองค์กร ผู้ตอบแบบสอบถามครึ่งหนึ่งกล่าวว่าพวกเขาไม่มีตัวชี้วัดเพื่อวัดประสิทธิภาพของความสามารถในการตอบสนองเหตุการณ์ ซึ่งหมายความว่าพวกเขาไม่สามารถแปลการคุกคามและปัญหาต่าง ๆ เป็นภาษาที่ผู้บริหารระดับสูง - เกี่ยวข้องกับธุรกิจโดยรวม - สามารถเข้าใจหรือทำงานร่วมกับ

เป็นไปได้อย่างมากว่าแม้ว่าการหารือเกี่ยวกับความปลอดภัยจะเกิดขึ้น แต่ผู้บริหารก็ได้รับปัญหามาก "พอลง" Potts กล่าว

"ขณะนี้เป็นเวลาสำหรับผู้บริหารระดับ C และผู้มีอำนาจตัดสินใจด้านไอทีที่จะมาร่วมกันและพัฒนาแผนที่แข็งแกร่งและครอบคลุมมากขึ้นสำหรับการตอบสนองเหตุการณ์การสื่อสารนี้เป็นสิ่งสำคัญหากเราต้องการลดความถี่ที่น่าตกใจของการละเมิดข้อมูลระดับสูง การสูญเสียที่เราเห็นในสื่อเกือบทุกวัน "พอตต์กล่าว

เงินเป็นสิ่งสำคัญ

ส่วนหนึ่งของปัญหาคือปัญหาการลงทุน ผู้ตอบแบบสอบถามครึ่งหนึ่งกล่าวว่าน้อยกว่า 10 เปอร์เซ็นต์ของงบประมาณความปลอดภัยโดยรวมของพวกเขาได้รับการจัดสรรเพื่อตอบสนองเหตุการณ์และแม้จะมีการโจมตีและภัยคุกคามเพิ่มขึ้น แต่ส่วนใหญ่บอกว่าพวกเขาไม่ได้เพิ่มการจัดสรรในช่วงสองปีที่ผ่านมา

มันทำให้รู้สึก หากผู้บริหารระดับซีไม่ได้ตระหนักถึงความเสี่ยงและภัยคุกคามพวกเขาจะไม่จัดลำดับความสำคัญของงบประมาณ หากผู้บริหารรู้ว่าการสูญเสียหรือความเสียหายที่อาจเกิดขึ้นนั้นมีขนาดใหญ่พอสมควรก็สามารถดำเนินการตามนั้นเพื่อปิดช่องว่างนั้น ผู้บริหารจำเป็นต้อง "มีข้อมูลที่ถูกต้องเพื่อการลงทุนที่ถูกต้อง" Potts กล่าว

จำเป็นต้องเปลี่ยน

ประมาณ 68% ของผู้ตอบแบบสอบถามกล่าวว่าองค์กรของพวกเขาเคยประสบปัญหาข้อมูลรั่วไหลหรือเหตุการณ์ความปลอดภัยอื่น ๆ ในช่วงสองปีที่ผ่านมา ในกลุ่มนั้นเกือบครึ่งหนึ่งหรือร้อยละ 46 ของผู้ตอบแบบสอบถามกล่าวว่าเหตุการณ์อีกเหตุการณ์หนึ่ง "ใกล้เข้ามา" และอาจเกิดขึ้นได้ภายในหกเดือนข้างหน้า นี่เป็นเรื่องร้ายแรงและชัดเจนว่า C-suite ควรเกี่ยวข้องและทำงานกับไอทีเพื่อให้แน่ใจว่ามีการดำเนินการตามขั้นตอนที่จำเป็นใช่ไหม?

ไม่ใช่จากการสำรวจเนื่องจากผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีและความปลอดภัย 674 คนในการสำรวจอ้างว่าพวกเขาไม่ได้เพิ่มปัญหาเหล่านี้หรือให้ผู้บริหารระดับสูงรู้ว่าเกิดอะไรขึ้น ทำให้คุณสงสัยว่าซีอีโอเป้าหมายมากแค่ไหนที่รู้ก่อนที่เขาจะถูกจับตามองในระดับประเทศและขอให้หารือเกี่ยวกับการฝ่าฝืนใช่ไหม?

Potts หวังว่าการละเมิดข้อมูลที่ Target และผู้ค้าปลีกรายอื่นจะทำหน้าที่เป็นสัญญาณเตือนให้คนอื่น ๆ บางทีเป้าหมายอาจเปลี่ยนวิธีการสื่อสารขององค์กรและ "ทำให้ง่ายต่อการบอก C-suite เกี่ยวกับปัญหาด้านความปลอดภัย" Potts กล่าว

คลิกเพื่อดูภาพเต็ม