A vállalatok közel 60 százaléka a működését megzavaró kibertámadások számának növekedését tapasztalta az elmúlt 12 hónapban, derült ki az EY idei információbiztonsági felméréséből (Global Information Security Survey 2020), amelyet a tanácsadó cég világszerte közel 1300 kiberbiztonsági szakember körében készített. Figyelemre méltó, hogy a megkérdezettek szerint a sikeres támadások 21 százaléka mögött aktivisták álltak - ez az arány a tavalyi felmérésben még csupán 12 százalék volt -, akik így a kampányok 23 százalékát jegyző szervezett bűnözők után mostanra a fenyegetések második legveszélyesebb forrásává váltak.
Bár a kockázatok az elmúlt évben is tovább nőttek, a begyűjtött válaszok alapján a vállalatok mindössze 36 százaléka vonja be biztonsági csapatát a technológiával támogatott üzleti kezdeményezésekbe már a munka kezdetén.
- Hagyományosan a kibervédelemre egyfajta megfelelési feladatként tekintenek a vállalatok, amelyet utólag is elvégezhetnek és kipipálhatnak, ahelyett, hogy a biztonságot minden technológiával áthatott üzleti kezdeményezésükbe kezdettől fogva beépítenék, de ez a modell nem tartható fenn, mondta Kris Lovejoy, az EY kiberbiztonsági tanácsadói vezetője. - A szervezetek csak akkor tudnak felülkerekedni a fenyegetéseken, ha változtatnak vállalati kultúrájukon, és a biztonságot eleve beépítik rendszereikbe, alkalmazásaikba. Sikeresen át kell hidalniuk ehhez a felsővezetés és a kiberbiztonsági terület közötti szakadékot, megszabadulniuk az előítélettől, amely az információbiztonsági igazgatóban (CISO) a kezdeményezések aggályoskodó kerékkötőjét látja, és lehetőséget kell neki adniuk, hogy a fejlesztéseket tanácsadóként támogassa.
Betervezett kibervédelem
A felmérés szerint a vállalati kiberbiztonsági csapatok ugyan jellemzően jó kapcsolatokat ápolnak az olyan rokon területekkel, mint az informatika, az auditálás, a kockázatkezelés és a jogi osztály, az üzlet más területeivel azonban eddig kevéssé találtak összhangra. A megkérdezettek csaknem háromnegyede (74 százaléka) mondta például, hogy a kiberbiztonság és a marketing kapcsolata a legjobb esetben is semleges, de nemritkán a bizalmatlanság nehezedik rá, vagy egyáltalán nem működik. A válaszadók 64 százaléka mondta ugyanezt a kutatás és fejlesztés, 59 százaléka pedig az üzletágak vonatkozásában is. A kiberbiztonsági szakemberek több mint fele (57 százaléka) számolt be a pénzüggyel meglévő kapcsolat feszültségéről is, jóllehet ez a terület hagyja jóvá a védekezés költségvetését.
Immár huszonkettedik alkalommal készítette el az EY GISS felmérését, és az évek során szerencsére az előrehaladás ütemét is mérhette. A tanácsadó szerint örvendetes, hogy az igazgatótanács és a felsővezetés tagjai ma már sokkal bizalmasabb kapcsolatot ápolnak a kiberbiztonságért, az érzékeny adatok védelméért felelő csapatokkal. A digitális átalakulás korában a hierarchia legfelsőbb szintjein is tudatosult a vezetőkben, hogy a vállalatok milyen sérülékenyekké váltak a kibertámadásokkal szemben, amelyek nemcsak zavartalan működésüket, hanem fennmaradásukat is veszélyeztethetik.
Teendő azonban bőven akad még. A kiberbiztonsági kockázatok ugyanis folyamatosan fejlődnek, miközben maga a vállalat is a szüntelen változás körülményei között tevékenykedik, a veszélyekkel az innováció és az átalakulás összefüggésében kell megbirkóznia. A biztonságot ezért minden kezdeményezésébe eleve be kell terveznie és építenie, figyelmeztet az EY. Az új, stratégiai és gyakorlati megközelítésnek, amelyet a tanácsadó Security by Designnak nevez, a szervezet minden területét át kell fognia, csakúgy, mint a kezdeményezések teljes életciklusát, hogy folyamatosan segíthesse a biztonsági kockázatok észlelését, kezelését és megszüntetését.
A Security by Design szellemében fellépő kiberbiztonsági csapatok a szemlélet meghonosításával kétségtelenül sokat tehetnek vállalatuk átalakulásáért, a digitális transzformáció fontos előmozdítóivá és támogatóivá válhatnak; a kultúra szervezeti szintű továbbfejlesztése azonban mindig közös felelősség lesz. A CISO a maga részéről szorosabb együttműködésre törekedhet a többi üzleti terület vezetőjével, és ezt kezdeményeznie is kell. Az igazgatótanács és a felsővezetés tagjainak azonban szintén el kell kötelezniük magukat a közelebbi munkakapcsolat mellett, és példájukat a többi vezetőnek is követnie kell.
- Kölcsönös bizalomra épülő kapcsolatokat kell építeniük és erősíteniük az üzlet valamennyi területe között, miközben átalakuláson mennek keresztül a szervezetek, mondta Kris Lovejoy. - Érdemes ezt az igazgatótanács szintjén kezdeniük, hogy a kiberbiztonságot az értékteremtés egyik kulcstámogatójává emeljék. Az igazgatótanács és a felsővezetés tagjainak, valamint a CISO-knak együtt kell működniük az üzlet minden vezetőjével, hogy a kibervédelmet a transzformáció és az innováció szerves részévé tegyék.
Együttműködve ezen a módon a vezetők a kiberbiztonságot és az érzékeny adatok védelmét alapból beépíthetik stratégiáikba, minden kezdeményezésükbe, amely a versenyképesség erősítését, a termékek, szolgáltatások piaci megkülönböztetését, az ügyfélélmény gazdagítását célozza. A CISO-nak ehhez persze el kell fogadnia az üzleti realitásokat is, amelyekkel vállalata szembesül a digitális gazdaság gyorsan változó körülményei között. A többi vezetőnek pedig, kezdve a legfelsőbb szinttől, a szervezeti hierarchia egészében gondoskodniuk kell arról, hogy a kiberbiztonság mindig helyet kapjon a menedzsment asztalánál.
Átalakulás biztonsággal, öt lépésben
Idei GISS felmérésének eredményét összegezve az EY öt tanácsot is megfogalmazott a CISO és a többi vezető, az üzleti területek közötti hatékony együttműködés kialakításához.
A kiberbiztonság legyen a vállalat digitális átalakulásának egyik legfontosabb, értékteremtő támogatója. Már a tervezés kezdeti szakaszában kapcsolódjon be a kiberbiztonság területe is a munkába minden technológiai támogatással megvalósuló új kezdeményezésnél. A Security by Design elvét követve a vállalat rögtön az elején térképezze fel a transzformáció, a tervezett termékek és szolgáltatások lehetséges biztonsági kockázatait, kezelésükre ne utólag tegyen kísérletet.
Bizalomra épülő kapcsolatok erősítése a szervezet minden területe között. Elemezze a vállalat üzleti folyamatait a kiberbiztonsági csapat közreműködésével, hogy megértse, a kiberfenyegetések milyen kockázatokat jelentenek működésére nézve, és a kibervédelem miként segíthet azok enyhítésében, illetve kiküszöbölésében.
Célravezető irányítási struktúrák kialakítása. Dolgozzon ki a vállalat olyan fő teljesítménymutatókat (KPI-ket), amelyek az üzleti teljesítmény mellett a kiberbiztonsági kockázati szint alakulását is mérik, hogy segítségükkel kockázatközpontú nézetet adó jelentéseket is készíthessen a felsővezetés és az igazgatótanács számára, megkönnyítve a kommunikációt a szervezeti hierarchia szintjei között.
Felsővezetők megszólítása. Az igazgatótanács és a vezérigazgató irodáiban is érthető szóhasználat meghonosítása a kibervédelmi kérdések ismertetéséhez és megvitatásához. A kiberbiztonsági kockázatok potenciális üzleti hatásának számszerűsítése például eredményesebbé teheti a kommunikációt.
A kiberbiztonság rendszeres kiértékelése. Helyesen teszi a vállalat, ha időről időre felméri a terület erősségeit és gyengeségeit, mert ennek alapján döntheti el, milyen további kompetenciákkal, erőforrásokkal szükséges felruháznia és támogatnia a CISO-t a még hatásosabb és relevánsabb kibervédekezés érdekében.
