A trend a hatékonyabb irányítás igényét és a gyakorlat érettebbé válását tükrözi, mutatott rá a piacelemző, amely idén is felmérést készített az információbiztonság, a kockázatkezelés, az üzletfolytonosság, a törvényi megfelelés és a személyes adatok védelmének kérdéskörében. A válaszok ezúttal hét ország 964, legalább 100 főt foglalkoztató és 50 millió dolláros éves bevételt elérő nagyvállalatától érkeztek február és április között.
- A szervezetek egyre tisztábban látják a kockázatokat, amelyek a digitalizálódó vállalat működését veszélyeztetik, de a kiberbiztonsági események sajtóvisszhangja is hozzájárul ahhoz, hogy az IT-kockázatok kérdése ma már mind több cégnél az igazgatótanácsot is foglalkoztatja - mondta Tom Scholtz, a Gartner alelnöke a Survey Analysis: Information Security Governance, 2015-16 címmel közzétett elemzésről. - A felmérésünkben részt vevő vállalatok 71 százalékánál az IT-kockázatok kezelésével összefüggő adatok igazgatótanácsi szinten is befolyásolják a döntéshozást. Más szóval az IT-kockázatok menedzselése mindinkább a vállalati szintű irányítás részévé válik.
Jól jellemzi az irányítás hatékonyságát többek között az is, hogy az információbiztonságért felelős csapat kinek jelent a szervezeten belül. A válaszadók 38 százaléka mondta, hogy vállalatánál e csapat vezetője kifejezetten az IT-osztályon kívülre küldi jelentéseit.
- A végrehajtás és a felügyelet közötti szakadék áthidalása, az információbiztonság státusának szervezeten belüli emelése és a biztonságban IT-problémát látó előítélet felszámolásának igénye vezérelte elsősorban ezeket a szervezeteket - mondta Tom Scholtz. - Egyre több cég ismeri fel, hogy a biztonságot nem csupán IT-üzemeltetési problémaként, hanem üzleti kockázatként kell menedzselnie. Kezdenek tisztába jönni a vállalatok azzal is, hogy a kiberbiztonsági kihívások és fenyegetések a hagyományos értelemben vett vállalati IT világán kívülről, például a dolgok internetéről is érkezhetnek.
Egyre magasabb szintre kerül a szervezeti hierarchiában a biztonsági kezdeményezések szponzorálása is a Gartner felmérése szerint. A válaszok alapján a vállalatok 63 százalékánál az információbiztonság javítására irányuló programokat a vezetőség IT-osztályon kívüli tagjai is szponzorálják, illetve támogatják. Tavaly ez az arány még 54 százalék volt. Az IT-biztonsági projektek vezérigazgatói vagy igazgatótanácsi szintű támogatásáról a vállalatok 30 százaléka számolt be, mindössze 1 százalékkal több, mint 2014-ben. Egy év alatt 7-ről 12 százalékra nőtt azon vállalatok aránya, amelyek irányítóbizottságot hoztak létre az IT-biztonsági kockázatok kezelésére. Régiónként azonban eléggé eltérőek ezek a számok. Míg az észak-amerikai vállalatok 57 százalékánál kapnak támogatást a biztonsági kezdeményezések az IT-osztályon kívülről, addig ez az arány Nyugat Európában és Ázsiában lényegesen magasabb, 63 és 67 százalék.
- Alapvető jelentőséggel bír, ha egy biztonsági kezdeményezés felsővezetői védnökséget élvez, enélkül ugyanis kisebb az esély arra, hogy a program megkapja azt a szervezeti támogatást, amely sikerre viteléhez szükséges - mondta Tom Scholtz. - Miután a vállalati információbiztonsági irányítóbizottságok (CISSC-k) tagjai elsősorban az üzleti oldal képviselői közül kerülnek ki, arra számítunk, hogy az irányítás gyakorlatának érettebbé válásával a biztonsági kezdeményezések is nagyobb támogatást kapnak majd ezektől a testületektől, amelyek kellő tekintéllyel képviselhetik a vezérigazgatót, az igazgatótanácsot és az üzletágvezetőket.
Szükség is lesz erre, mivel a válaszadók mindössze 30 százaléka mondta, hogy vállalatánál az üzleti oldal aktívan részt vesz a biztonsági szabályok kialakításában és jóváhagyásában. Noha ez a szám jelentős növekedés a tavalyi 16 százalékos arányhoz képest, továbbra is arra hívja fel a figyelmet, hogy a vállalatok többségénél az üzlet továbbra sem veszi ki részét az IT-biztonsági kockázatok kezeléséből. A két oldal, az informatika és az üzlet így eltérő módon ítéli meg a kockázatokat, és azokat másképp próbálja menedzselni, ami átfedésekhez vezet, és végső soron rontja a védelem hatékonyságát.
