Исследование Trend Micro выявило, что организации часто жертвуют кибербезопасностью ради других целей
Исследование Trend Micro выявило, что организации часто жертвуют кибербезопасностью ради других целей
Trend Micro Incorporated опубликовала результаты нового исследования , согласно которым 90% ИТ-руководителей утверждают, что их компании готовы к компромиссам в вопросах кибербезопасности в пользу цифровой трансформации, повышения производительности или достижения иных целей. Больше того, 82% опрошенных почувствовали, что на них давят, требуя преуменьшить серьёзность киберрисков перед советом директоров.
«ИТ-руководители вынуждены заниматься самоцензурой: выступая перед советом директоров, они опасаются звучать чересчур настойчиво или слишком пессимистично. Почти треть из них ощущает давление постоянно. Но такой подход только укрепляет порочный круг, в котором топ-менеджеры не осознают истинные масштабы рисков, — объясняет Бхарат Мистри (Bharat Mistry), технический директор Trend Micro в Великобритании. — О рисках следует говорить таким образом, чтобы кибербезопасность рассматривалась как фундаментальный драйвер роста бизнеса, помогая объединить усилия ИТ-руководителей и руководителей компаний, которые на самом деле борются за одно и то же».
«Сотрудники, принимающие решения в области ИТ, ни в коем случае не должны преуменьшать серьёзность киберрисков для совета директоров. Но им, возможно, придётся подобрать иную терминологию, чтобы обе стороны понимали друг друга, — отмечает Фил Гоф (Phil Gough), глава отдела информационной безопасности Nuffield Health, крупнейшей в Великобритании компании в области здравоохранения. — Это первый шаг к согласованию бизнес-стратегии со стратегией кибербезопасности, и этот шаг очень важен. Формулирование киберрисков в бизнес-терминах привлечёт к ним необходимое внимание и поможет высшему руководству признать безопасность фактором роста, а не препятствием для инноваций».
Исследование показывает, что только 50% ИТ-руководителей и 38% лиц, принимающих бизнес-решения, считают, что топ-менеджмент полностью осознаёт масштаб киберрисков. Хотя некоторые считают, что это связано с тем, что тема сложная и постоянно меняется, многие уверены, что руководитель либо недостаточно старается (26%), либо просто не хочет понимать (20%).
Существуют также разногласия между ИТ-лидерами и руководителями бизнеса по поводу того, кто в конечном итоге несёт ответственность за управление рисками и их смягчение. ИТ-руководители почти в два раза чаще, чем бизнес-лидеры, указывают на ИТ-команды и директоров по информационным технологиям. 49% респондентов утверждают, что киберриски по-прежнему рассматриваются как проблема ИТ, а не как бизнес-риски.
Подобное противоречие может стать причиной серьёзных неприятностей: 52% респондентов согласны с тем, что отношение их организации к киберрискам непоследовательно и меняется от месяца к месяцу. Однако 31% респондентов считают, что кибербезопасность сегодня является самым большим бизнес-риском, а 66% утверждают, что она оказывает наибольшее влияние на затраты из всех бизнес-рисков — это выглядит противоречием, если учесть общую готовность идти на компромисс в отношении безопасности.
Респонденты считают, что есть три основные фактора, которые вынудят высшее руководство обратить больше внимания на киберриски:
- 62% думают, что это случится после взлома организации,
- 62% считают, что поможет возможность давать более чёткое и понятное объяснение бизнес-рисков, причиной которых являются киберугрозы,
- 61% уверены, что на ситуацию могут повлиять клиенты — если начнут требовать более совершенной защиты данных.
«Чтобы кибербезопасность превратилась в вопрос уровня совета директоров, топ-менеджмент должен рассматривать её как полноценный инструмент поддержки бизнеса, — говорит Марк Уолш (Marc Walsh), архитектор корпоративной безопасности в Coillte, крупнейшей ирландской компании в области лесного хозяйства. — Это побудит руководителей ИТ и безопасности формулировать проблемы перед советом директоров на языке бизнес-рисков. И для этого потребуются приоритетные упреждающие вложения со стороны совета директоров, а не только временные решения после взлома».