43 proc. ankietowanych przez EY menedżerów ds. bezpieczeństwa informacji (CISO) nigdy dotąd nie martwiło się w takim stopniu jak obecnie o zdolność ich firm do odpierania cyberzagrożeń. 77 proc. ostrzega, że miało w ostatnich 12 miesiącach do czynienia ze wzrostem liczby ataków typu ransomware, a to wszystko w środowisku pandemicznym, w którym 81 proc. firm nie konsultowało planów nowych inicjatyw biznesowych z działami cyberbezpieczeństwa.
Ankietowani w ramach Ogólnoświatowego Badania Bezpieczeństwa Informacji EY (GISS – Global Information Security Survey) zwracają również uwagę, że pandemia ujawniła luki w szeroko rozumianym ekosystemie, obejmującym łańcuch zależności firm, a tylko jeden na trzech CISO jest przekonany, że cały łańcuch dostaw w ich organizacji jest pod tym względem zabezpieczony i odporny.
- Skupienie na słabych punktach w ekosystemie partnerskim organizacji, to jeden z oczywistych postpandemicznych priorytetów dla osób odpowiadających za bezpieczeństwo w firmach. Choć wcześniej ten problem był mniej dostrzegany, podczas pandemii został uwidoczniony, uświadamiając tym samym wielu organizacjom, jak poważne zagrożenia może nieść za sobą złe zabezpieczenie tak zwanych stron trzecich, dostarczających usługi, produkty czy rozwiązania. Relacje z podmiotami trzecimi zwiększają bowiem liczbę punktów, poprzez które organizacja może być potencjalnie zaatakowana. Dlatego tak ważne jest, by podlegały one stałemu monitoringowi pod kątem zagrożeń – mówi Kazimierz Klonecki, partner EY i lider działu cyberbezpieczeństwa.
Warto tu przypomnieć, że ostatnio dane części klientów Taurona, które wyciekły, były gromadzone i przetwarzane przez dwie firmy współpracujące z tym dostawcą energii.
To nie koniec wyzwań, na które wskazali w tym roku ankietowani w badaniu EY. Blisko 40 proc. CISO zwróciło uwagę na to, że nie dysponuje budżetem odpowiednim do wyzwań, które pojawiły się w ich firmach w ostatnich 12 miesiącach. Wydatki na cyberbezpieczeństwo stanowiły w ostatnim roku finansowym średnio zaledwie 0.05 proc. przychodów badanych firm. Co więcej, 36 proc. ankietowanych jest zdania, że kwestią czasu jest to, że ich organizacje doświadczą znaczącego incydentu z zakresu cyberbezpieczeństwa, którego można by uniknąć, dzięki odpowiednim inwestycjom.
– Z badania EY wynika, że większość kosztów związanych z cyberbezpieczeństwem w firmach, alokowana jest w szeroko rozumianych budżetach IT lub w wydatkach na technologię. To z jednej strony utrudnia właściwe i elastyczne zarządzanie takim budżetem, a z drugiej pokazuje, jak rozumiane i postrzegane są funkcje CISO w organizacjach. Co więcej – w części organizacji niewystarczająca wysokość budżetów w rękach menedżerów zajmujących się cyberbezpieczeństwem, powoduje konieczność dopasowania stosowanych rozwiązań i presję na zmniejszanie kosztów w pełnym zagrożeń środowisku. Tym samym CISO stale walczą o to, by wypełnić lukę między potrzebami a możliwościami finansowania – mówi Jakub Walarus, associate partner EY w dziale cyberbezpieczeństwa.
Przed CISO stoją też wyzwania wynikające z relacji z innymi działami i osobami odpowiedzialnymi za podejmowanie decyzji. Choć jeszcze w ubiegłorocznym badaniu 36 proc. respondentów było pewnych, że zespoły cyberbezpieczeństwa biorą udział w konsultacjach na etapie planowania nowych inicjatyw biznesowych, w tym roku wynik ten spadł do 19 proc. Aż 56 proc. badanych przyznaje, że zespoły odpowiadające za cyberbezpieczeństwo nie biorą udziału w konsultacjach, albo dołączają do nich zbyt późno podczas podejmowania przez liderów pilnych, strategicznych decyzji.
– Jak pokazują najnowsze wyniki badania EY, funkcja CISO w firmie jest często nadal niedoceniana. Zaskakujące i niepokojące są szczególnie wyniki wskazujące, że osoby odpowiedzialne za bezpieczeństwo informacji, nie tylko nie zyskują na znaczeniu, ale wręcz rzadziej niż jeszcze rok temu są stroną rozmów o strategicznych dla organizacji planach, wdrożeniach i kierunkach rozwoju. Część firm zdaje już sobie sprawę, że funkcje bezpieczeństwa informacji są kluczowe dla ich działalności, ale wciąż istnieje jeszcze grupa tych, postrzegających CISO jako hamulcowych, którzy spowalniają, a wręcz wstrzymują część biznesowych inicjatyw. Pokazuje to, że CISO nie mogą być jedynie ekspertami technicznymi, ale muszą także sprawnie poruszać się w swoich organizacjach, komunikując się językiem biznesu. Pozytywnym sygnałem płynącym z badania jest jednak to, że częściej niż w ubiegłym roku, osoby obejmujące funkcje bezpieczeństwa współpracują z pracownikami odpowiedzialnymi za ryzyko – dodaje Patryk Gęborys, associate partner EY w dziale cyberbezpieczeństwa.
Wyzwaniem stojącym przed CISO są również złożone i skomplikowane regulacje. Środowisko prawne jest niejednorodne i szefowie bezpieczeństwa informacji – szczególnie w międzynarodowych organizacjach - muszą funkcjonować w wielu jurysdykcjach jednocześnie (np. na poziomie krajowym, regionalnym czy globalnym). Co więcej, muszą również stosować się do wymogów prawnych, właściwych dla konkretnego sektora działalności organizacji (np. usług finansowych). O tym jak wymagające jest to wyzwanie, świadczy fakt, że niemal połowa ankietowanych w tegorocznym badaniu EY przyznała, że compliance jest jednym z najbardziej stresujących wyzwań w pracy CISO.
57 proc. badanych przewiduje z kolei, że w nadchodzących latach regulacje staną się jeszcze bardziej niejednorodne i będą wymagać poświęcenia im dodatkowej uwagi, a tym samym czasu.
– W najbliższym czasie znaczna część aktywności szefów działów bezpieczeństwa informacji skupiona będzie na zapewnieniu zgodności z obowiązującymi regulacjami. Skomplikowane środowisko prawne stało się na przestrzeni ostatniego roku powodem dla którego CISO inaczej niż dotychczas postrzega rolę compliance. Z jednej strony bowiem przepisy prawne wymagają od nich coraz większego zaangażowania czasu i zasobów, a jednocześnie rzadziej niż jeszcze rok wcześniej są argumentem w negocjacjach budżetowych dla działów bezpieczeństwa informacji. Jest to więc kolejne ogromne wyzwanie stojące nie tylko przed samymi CISO, ale i całymi organizacjami – dodaje Jacek Sygutowski, Associate Partner EY w Dziale Cyberbezpieczeństwa.
Ogólnoświatowe Badanie Bezpieczeństwa Informacji EY to coroczna ankieta wśród osób odpowiedzialnych w firmach za cyberbezpieczeństwo. W tegorocznym badaniu udział wzięło 1010 respondentów z całego świata. 43 proc. stanowili respondenci z regionu EMEIA, 36 proc. z obu Ameryk, a 20 proc. respondentów pochodziło z rejonu Azji i Pacyfiku. Badanie przeprowadzono w okresie od marca do maja 2021 r. wśród przedstawicieli firm o rocznych przychodach przekraczających 1 mld dol.