Marsh: Menadżerowie poświęcają niewiele czasu na zarządzanie cyberryzykiem

0
794

Większość członków zarządu lub kadry kierowniczej odpowiedzialnej za zarządzanie ryzykiem cybernetycznym w swojej organizacji poświęca nie więcej niż jeden dzień w roku na zagadnienia związane  z tym tematem – wynika z raportu „2019 Global Cyber  Risk Perception Survey” przygotowanego przez Marsh we współpracy z Microsoft. Ów bardzo ograniczony czas poświęcany na kwestie zagrożeń cybernetycznych ma miejsce w momencie, gdy niepokój spowodowany cyberatakami osiągnął najwyższy dotychczas poziom, a zaufanie do firm w zakresie zarządzania ryzykami cybernetycznymi znacząco spadło.

Blisko 80% respondentów wymieniło ryzyka cybernetyczne wśród największych zagrożeń (62% w 2017 r.) Jednak tylko 11% ankietowanych jest pewnych swoich umiejętności co do prawidłowej oceny zagrożeń, przeciwdziałania atakom czy skutecznego reagowania (19%).

Dla wielu organizacji strategiczne zarządzanie ryzykiem cybernetycznym nadal pozostaje wyzwaniem. Podczas gdy 65% ankietowanych przypisało odpowiedzialność za zarządzanie ryzykami cybernetycznymi kadrze kierowniczej i zarządowi, tylko 17% kierowników wyższego szczebla przyznało, że przeznaczyło więcej niż kilka dni w roku na te kwestie. Natomiast 51% przeznaczyło zaledwie kilka godzin lub mniej.

88% respondentów wskazało dział IT jako głównego decydenta ds. zarządzania ryzykiem cybernetycznym, podczas gdy 30% pracowników IT przyznało, że spędziło jedynie kilka dni lub mniej na analizie ryzyk cybernetycznych.

Pomimo korzystania z nowych technologii organizacje nie są w pełni świadome ryzyk, jakie niosą one ze sobą. 77% ankietowanych potwierdziło, że jest w trakcie adaptacji lub zaadaptowało nowe technologie, takie jak przechowywanie danych w chmurze, robotykę czy sztuczną inteligencję. 36% twierdzi, że dokonało oceny ryzyk zarówno przed, jak i po adaptacji nowych technologii, a 11% przyznało, że w ogóle nie dokonało oceny.

– Badanie pokazało, że świadomość zagrożeń cybernetycznych w organizacji rośnie, a cyberbezpieczeństwo jest jednym z najważniejszych priorytetów biznesowych. Firmy przykładają więcej uwagi do występujących zagrożeń, jednak zdolności do zarządzania  nimi, poczucie pewności w tym obszarze  zmalało w stosunku do badań z roku 2017 – podkreśla Anna Pluta, lider Praktyki Cybernetycznej Marsh Polska. – Konsekwentnie wobec lat ubiegłych badanie wskazało zagrożenia atakiem hakerskim jako najpoważniejsze z wszystkich współczesnych zagrożeń dla biznesu. Pomimo tak poważnego postrzegania ryzyka w organizacji, zdecydowana większość respondentów deleguje kwestie zarządzania bezpieczeństwem cybernetycznym wyłącznie do zespołów IT (aż 88% respondentów wobec 70% z badania w 2017), tylko 17% liderów i kadry zarządczej przyznało się, że w ostatnim roku  poświecili  na kwestie związane z cyberryzykiem raptem kilka dni. Wiele organizacji skupia się głównie na rozwiązaniach technologicznych i inwestycjach w narzędzia chroniące i zabezpieczające przed cyberryzykiem, zapominając o ocenie ryzyka, możliwości jego transferu, reakcji na incydent czy naruszenie bezpieczeństwa danych – czyli o tych obszarach, które kształtują kulturę cyberbezpieczeństwa i budują odporność organizacji na potencjalne zagrożenia – dodaje.

Ekspertka podkreśla, że innowacje IT wydają się być absolutnie konieczne dla większości biznesu, pozostawiają one jednak nierozłącznie technologiczny ślad w środowisku IT organizacji, włączając w to ryzyko cybernetyczne. Postęp naraża organizacje na zwiększenie powierzchni ataku, która rozszerza się w wyniku implementacji nowych rozwiązań technologicznych.  

– Ponad trzy czwarte respondentów potwierdziło zaadoptowanie lub rozważa wprowadzenie co najmniej jednego operacyjnego udogodnienia technologicznego, 50% przyznało, że zagrożenia cybernetyczne prawie nigdy nie stanowiły przeszkody we wdrożeniu nowych rozwiązań, jednak dla 23% respondentów, włączając w to wiele mniejszych firm, koszty i ryzyko związane z wdrożeniem nowych technologii niestety przewyższają korzyści i możliwości z nich wynikające. Zagrożenia i ekspozycje związane z nowymi technologiami muszą być zatem wyważone wobec potencjalnych benefitów będących efektem dokonanej transformacji technologicznej a tolerancją ryzyka, która jest różna dla każdej organizacji czy branży – tłumaczy Anna Pluta.

Zaznacza, że powszechna cyfryzacja w łańcuchu dostaw, rosnąca współzależność gospodarcza ma wpływ na powstawanie cyberryzyka  wśród wszystkich zaangażowanych podmiotów, nie jest to ryzyko dotykające tylko jednej strony czy jednego partnera biznesowego.

– Ciekawostką wśród wielu respondentów są rozbieżności w postrzeganiu ryzyka, na które są narażone firmy w ramach łańcucha dostaw: 39% respondentów stwierdziło, że zagrożenie ze strony ich parterów czy dostawców było wysokie lub dość wysokie, ale tylko 16% respondentów wskazało, że w łańcuchu dostaw to oni sami są wysokim lub dość wysokim „nośnikiem” zagrożeń cybernetycznych. Wśród respondentów bardziej prawdopodobne było ustalenie wyższych standardów dla własnych działań w zakresie zarządzania ryzkiem cybernetycznym niż podwyższanie standardów wobec innych kontrahentów w ramach łańcucha dostaw – wskazuje Anna Pluta. – Generalnie organizacje wskazują na ograniczającą rolę nowo wprowadzonych regulacji i prawa. Zdaniem respondentów mają one wpływ na efektywność i nie pomagają w zarządzaniu cyberryzykiem. Wyjątkiem są ataki sponsorowane przez obce państwa – w zakresie tych zagrożeń  ponad połowa  respondentów oczekuje większego zainteresowania i pomocy z strony instytucji rządowych – dodaje.

Ekspertka zwraca uwagę, że wraz z rozwojem zagrożeń także ubezpieczenia od ryzyk cybernetycznych są na krzywej wznoszącej, a organizacje prezentują otwartą postawę na ubezpieczeniowy transfer ryzyka.

– 47% badanych organizacji potwierdziło posiadanie ochrony ubezpieczeniowej  (wzrost wobec 34% w roku 2017), niepewność co do możliwości uzyskania ochrony ubezpieczeniowej adekwatnej wobec potrzeb spadła do 31%, z 41% w 2017 r., i aż 89%  respondentów posiadających ochronę ubezpieczeniową zadeklarowało wysoką i dość wysoką pewność, że posiadane polisy pokryłyby koszty związane z  cyberincydentem – wylicza Anna Pluta.

O badaniu:

Globalne badanie „2019 Global Cyber  Risk Perception Survey” przeprowadzone wśród 1500 organizacji opisuje aktualne postrzeganie ryzyka cybernetycznego, a także sposoby zarządzania nim, porównując tym samym rezultaty uzyskane w poprzedniej edycji badania z 2017 roku.

(AM, źródło: Marsh Polska)