Tylko jedna na pięć firm uważa, że jej priorytety w zakresie cyberbezpieczeństwa i cele biznesowe są w pełni zgodne – wynika z badania zrealizowanego przez Forrester Consulting na zlecenie firmy WithSecure. Aż 83% badanych decydentów IT chciałoby wdrożyć rozwiązania bezpieczeństwa „bazującego na wynikach” (outcome-based security). Jednak w większości przedsiębiorstwa reagują na problemy doraźnie – dopiero kiedy się pojawią.
Podejście do kwestii cyberbezpieczeństwa różni się w zależności od branży. Wyłącznie doraźne podejście stosuje aż 71% przedsiębiorstw produkcyjnych. W wysoce regulowanym sektorze usług finansowych taką polityką kieruje się nieco ponad połowa firm.
Reaktywne podejście stwarza problemy
90% badanych ze wszystkich branży twierdzi, że reaktywne podejście jest dla firmy problematyczne. Wraz z pojawianiem się kolejnych incydentów związanych z cyberbezpieczeńswtem ciągłe funkcjonowanie w trybie „gaszenia pożarów” sprawia, że 41% przedsiębiorstw znalazło się w trudnej sytuacji, mając problem z oszacowaniem ryzyka. 35% respondentów wskazuje, że głównym wyzwaniem podczas doraźnego reagowania na incydenty jest niska dostępność wykwalifikowanych pracowników.
Konieczna jest proaktywność
Cyberbezpieczeństwo długo było postrzegane jako działanie bazujące wyłącznie na zarządzaniu ryzykiem, które ma chronić organizacje przed atakami. Jak wskazują eksperci WithSecure, obecnie podejście to musi ewoluować i stawać się działaniem proaktywnym. Cyberbezpieczeństwo oparte na wynikach zakłada zgodność priorytetów bezpieczeństwa z celami biznesowymi.
– Większość inwestycji w cyberbezpieczeństwo ma na celu głównie zmniejszenie ryzyka dla firmy. Problem pojawia się jednak, gdy ograniczane ryzyka nie są tymi, które są najważniejsze dla wyników biznesowych. W efekcie inwestycje w zabezpieczenia są całkowicie oderwane od biznesu lub cyberbezpieczeństwo w ogóle nie otrzymuje potrzebnego finansowania – wyjaśnia Christine Bejerasco, dyrektor ds. bezpieczeństwa w firmie WithSecure.
Trudności z mierzeniem cyberbezpieczeństwa
Ocenienie na ile priorytety cyberbezpieczeństwa wspierają wyniki biznesowe firmy jest dla wielu przedsiębiorstw wyzwaniem. 42% liderów IT twierdzi, że ich firmy nie zdefiniowały stanu obecnych zabezpieczeń ani poziomu dojrzałości ochrony, do którego dążą. Niemal połowa respondentów ma problemy z mierzeniem czy priorytety w zakresie cyberbezpieczeństwa przekładają się na oczekiwane rezultaty. 23% badanych napotyka na wyzwania związane z przełożeniem metryk dotyczących bezpieczeństwa na dane, które będą istotne dla zarządu firmy.