43% ankietowanych przez EY oficerów ds. bezpieczeństwa informacji (CISO) jeszcze nigdy tak bardzo nie martwiło się o zdolność ich firm do odpierania cyberzagrożeń. 77% ankietowanych ostrzega, że w ostatnich 12 miesiącach nastąpił wzrost liczby ataków typu ransomware. Do zdarzeń tego typu dochodzi w środowisku, w którym 81% firm nie konsultowało planów nowych inicjatyw biznesowych z działami cyberbezpieczeństwa.
Ankietowani w ramach Ogólnoświatowego Badania Bezpieczeństwa Informacji EY (GISS – Global Information Security Survey) zwracają uwagę, że pandemia ujawniła luki w szeroko rozumianym ekosystemie obejmującym łańcuch zależności firm. Tylko jeden na trzech CISO jest przekonany, że cały łańcuch dostaw w ich organizacji jest pod tym względem zabezpieczony i odporny.
– Skupienie na słabych punktach w ekosystemie partnerskim organizacji to jeden z oczywistych postpandemicznych priorytetów dla osób odpowiadających za bezpieczeństwo w firmach. Problem został uwidoczniony podczas pandemii, uświadamiając tym samym wielu organizacjom, jak poważne zagrożenia może nieść za sobą złe zabezpieczenie tak zwanych stron trzecich dostarczających usługi, produkty czy rozwiązania. Relacje z podmiotami trzecimi zwiększają bowiem liczbę punktów, poprzez które organizacja może być potencjalnie zaatakowana. Dlatego tak ważne jest, by podlegały one stałemu monitoringowi pod kątem zagrożeń – mówi Kazimierz Klonecki, Partner EY i Lider Działu Cyberbezpieczeństwa.
Ponadto prawie 40% ankietowanych zwróciło uwagę na to, że nie dysponuje budżetem odpowiednim do wyzwań, które pojawiły się w ich firmach w ostatnich 12 miesiącach. Wydatki na cyberbezpieczeństwo stanowiły w ostatnim roku finansowym średnio zaledwie 0,05% przychodów badanych firm. Co więcej, 36% ankietowanych jest zdania, że ich organizacje doświadczą w pewnym momencie znaczącego incydentu z zakresu cyberbezpieczeństwa, którego można by uniknąć dzięki odpowiednim inwestycjom.
– Z badania EY wynika, że większość kosztów związanych z cyberbezpieczeństwem w firmach alokowana jest w szeroko rozumianych budżetach IT lub w wydatkach na technologię. To z jednej strony utrudnia właściwe i elastyczne zarządzanie takim budżetem, a z drugiej pokazuje, jak rozumiane i postrzegane są funkcje CISO w organizacjach. Co więcej, w części organizacji niewystarczająca wysokość budżetów w rękach menedżerów zajmujących się cyberbezpieczeństwem powoduje konieczność dopasowania stosowanych rozwiązań i presję na zmniejszanie kosztów w pełnym zagrożeń środowisku. Tym samym CISO stale walczą o to, by wypełnić lukę między potrzebami a możliwościami finansowania – mówi Jakub Walarus, Associate Partner EY w Dziale Cyberbezpieczeństwa.
Przed CISO stoją też wyzwania wynikające z relacji z innymi działami i osobami odpowiedzialnymi za podejmowanie decyzji. Choć jeszcze w ubiegłorocznym badaniu 36% respondentów było pewnych, że zespoły cyberbezpieczeństwa biorą udział w konsultacjach na etapie planowania nowych inicjatyw biznesowych, w tym roku wynik ten spadł do 19%. Aż 56% badanych przyznaje, że zespoły odpowiadające za cyberbezpieczeństwo nie biorą udziału w konsultacjach, albo dołączają do nich zbyt późno podczas podejmowania przez liderów pilnych, strategicznych decyzji.
– Jak pokazują wyniki badania EY, funkcja CISO w firmie jest często niedoceniana. Zaskakujące i niepokojące jest to, że osoby odpowiedzialne za bezpieczeństwo informacji nie tylko nie zyskują na znaczeniu, ale wręcz rzadziej niż rok temu są stroną rozmów o strategicznych dla organizacji planach, wdrożeniach i kierunkach rozwoju. Część firm zdaje już sobie sprawę, że funkcje bezpieczeństwa informacji są kluczowe dla ich działalności, ale wciąż istnieje grupa tych, którzy postrzegają CISO jako hamulcowych. Pozytywnym sygnałem płynącym z badania jest jednak to, że częściej niż w ubiegłym roku osoby obejmujące funkcje bezpieczeństwa współpracują z pracownikami odpowiedzialnymi za ryzyko – podkreśla Patryk Gęborys, Associate Partner EY w Dziale Cyberbezpieczeństwa.
Wyzwaniem stojącym przed CISO są również złożone i skomplikowane regulacje. Środowisko prawne jest niejednorodne i szefowie bezpieczeństwa informacji – szczególnie w międzynarodowych organizacjach – muszą funkcjonować w wielu jurysdykcjach jednocześnie (np. na poziomie krajowym, regionalnym czy globalnym). Co więcej, muszą również stosować się do wymogów prawnych właściwych dla konkretnego sektora działalności organizacji (np. usług finansowych). O tym, jak wymagające jest to wyzwanie, świadczy fakt, że niemal połowa ankietowanych w tegorocznym badaniu EY przyznała, że compliance jest jednym z najbardziej stresujących wyzwań w pracy CISO.
57% badanych przewiduje, że w nadchodzących latach regulacje staną się jeszcze bardziej niejednorodne i będą wymagać poświęcenia im dodatkowej uwagi, a tym samym czasu.
– W najbliższym czasie znaczna część aktywności szefów działów bezpieczeństwa informacji skupiona będzie na zapewnieniu zgodności z obowiązującymi regulacjami. Skomplikowane środowisko prawne stało się na przestrzeni ostatniego roku powodem, dla którego CISO inaczej niż dotychczas postrzegają rolę compliance. Z jednej strony bowiem przepisy prawne wymagają od nich coraz większego zaangażowania czasu i zasobów, a jednocześnie rzadziej niż jeszcze rok wcześniej są argumentem w negocjacjach budżetowych dla działów bezpieczeństwa informacji. Jest to więc kolejne ogromne wyzwanie stojące nie tylko przed samymi CISO, ale i całymi organizacjami – dodaje Jacek Sygutowski, Associate Partner EY w Dziale Cyberbezpieczeństwa.
O badaniu:
Ogólnoświatowe Badanie Bezpieczeństwa Informacji EY to coroczna ankieta wśród osób odpowiedzialnych w firmach za cyberbezpieczeństwo. W tegorocznym badaniu udział wzięło 1010 respondentów z całego świata. 43% stanowili respondenci z regionu EMEIA, 36% z obu Ameryk, a 20% respondentów pochodziło z rejonu Azji i Pacyfiku. Badanie przeprowadzono w okresie od marca do maja 2021 r. wśród przedstawicieli firm o rocznych przychodach przekraczających 1 mld USD.
Pełny raport (po angielsku): https://www.ey.com/en_gl/cybersecurity/…
(KS, źródło: EY)
