EY ankietowało specjalistów do spraw bezpieczeństwa informacji (CISO). 43 proc. z nich obawia się o zdolność firm do ochrony przed cyberzagrożeniami. 77 proc. mówi o wzroście ataków ransomware w ostatnich 12 miesiącach. Wszystko to działo się w okresie pandemii, gdy firmy masowo przechodziły na działania zdalne. Wiele z nich (81 proc.) nie konsultowało kolejnych zmian z działami cyberbezpieczeństwa.
W Ogólnoświatowym Badaniu Bezpieczeństwa Informacji EY ankietowani wskazywali również, że pandemia ujawniła luki w łańcuchach dostaw.
– Skupienie na słabych punktach w ekosystemie partnerskim organizacji, to jeden z oczywistych postpandemicznych priorytetów dla osób odpowiadających za bezpieczeństwo w firmach. Choć wcześniej ten problem był mniej dostrzegany, podczas pandemii został uwidoczniony, uświadamiając tym samym wielu organizacjom, jak poważne zagrożenia może nieść za sobą złe zabezpieczenie tak zwanych stron trzecich, dostarczających usługi, produkty czy rozwiązania – mówi Kazimierz Klonecki, Partner EY i Lider Działu Cyberbezpieczeństwa.
40 proc. odpowiedzialnych za ochronę danych skarży się też, ze firmy nie przywiązują odpowiedniej wagi do ich działań. Nie dysponują budżetem pozwalającym na przeciwdziałanie zagrożeniom, które pojawiły się w ciągu ostatnich 12 miesięcy.
Wydatki na cyberbezpieczeństwo to średnio 0.05% przychodów badanych firm. A 36 proc. ankietowanych uważa, że bez odpowiedniej ochrony firmy w niedalekiej przyszłości będą ofiarami cyberataków, których można by było uniknąć, a które przyniosą dużo większe straty niż zwiększenie już teraz wydatków na cyberochronę.
– Z badania EY wynika, że większość kosztów związanych z cyberbezpieczeństwem w firmach, alokowana jest w szeroko rozumianych budżetach IT lub w wydatkach na technologię. To z jednej strony utrudnia właściwe i elastyczne zarządzanie takim budżetem, a z drugiej pokazuje, jak rozumiane i postrzegane są funkcje CISO w organizacjach. (…) Tym samym CISO stale walczą o to, by wypełnić lukę między potrzebami a możliwościami finansowania – mówi Jakub Walarus, Associate Partner EY w Dziale Cyberbezpieczeństwa.
W ubiegłorocznym badaniu 36 proc. ankietowanych mówiło o udziale zespołów do cyberbezpieczeństwa w planowaniu inwestycji. To obecnie wynik spadł do 19 proc. A wydawałoby się, że w czasie pandemii udział tych zespołów w pracach powinien się zwiększać.
– Jak pokazują najnowsze wyniki badania EY, funkcja CISO w firmie jest często nadal niedoceniana. Część firm zdaje już sobie sprawę, że funkcje bezpieczeństwa informacji są kluczowe dla ich działalności, ale wciąż istnieje jeszcze grupa tych, postrzegających CISO jako hamulcowych, którzy spowalniają, a wręcz wstrzymują część biznesowych inicjatyw. Pokazuje to, że CISO nie mogą być jedynie ekspertami technicznymi, ale muszą także sprawnie poruszać się w swoich organizacjach, komunikując się językiem biznesu – dodaje Patryk Gęborys, Associate Partner EY w Dziale Cyberbezpieczeństwa.
Całej sytuacji nie ułatwiają regulacje i środowisko prawne. Jest to szczególnie trudne w firmach międzynarodowych, gdy trzeba działać dostosowując się do kilku porządków prawnych. Dlatego też niemal połowa badanych mówi o tym, że to jedno z najbardziej stresujących wyzwań. A 57 proc. mówi o tym, że w najbliższych latach sytuacja może się jeszcze skomplikować, bo regulacje na różnych polach będą jeszcze bardziej niejednorodne.
– Skomplikowane środowisko prawne stało się na przestrzeni ostatniego roku powodem dla którego CISO inaczej niż dotychczas postrzega rolę compliance. Z jednej strony bowiem przepisy prawne wymagają od nich coraz większego zaangażowania czasu i zasobów, a jednocześnie rzadziej niż jeszcze rok wcześniej są argumentem w negocjacjach budżetowych dla działów bezpieczeństwa informacji– dodaje Jacek Sygutowski, Associate Partner EY w Dziale Cyberbezpieczeństwa.
Źródło: infowire.p