Video: E992 The Next Unicorns E8 Expanse CEO Tim Junio on cybersecurity, China/Russia threat, tampering (Oktober 2024)
Ketika datang ke keamanan, CEO tidak tahu apa yang terjadi di dalam organisasi mereka. Jadi ditemukan laporan Lembaga Ponemon yang dirilis minggu ini yang memeriksa bagaimana organisasi mempersiapkan, dan menanggapi, insiden keamanan. Sebanyak 80 persen responden survei mengatakan mereka tidak "sering berkomunikasi" dengan manajemen eksekutif tentang potensi serangan cyber yang mengancam organisasi. Ini melampaui CEO dan mencakup seluruh C-suite (CIO, CSO, COO, CTO, dll).
Sangat mengejutkan bahwa "informasi itu tidak sampai ke C-suite, " Mike Potts, presiden dan CEO Lancope, mengatakan kepada Security Watch. "Kami selalu membicarakan hal ini, " tambahnya.
Perusahaan menghabiskan jutaan dolar untuk produk dan layanan keamanan dan masih dilanggar, menurut Lancope, yang menugaskan penelitian. Bahkan, Gartner mengatakan $ 67 miliar dihabiskan untuk produk keamanan TI secara global pada 2013. Namun kekayaan intelektual senilai $ 250 miliar dicuri dari perusahaan setiap tahun. Di mana putuskan sambungan?
Tidak Ada Pembaruan Reguler
Banyak eksekutif mungkin melihat semua pengeluaran keamanan dan berpikir, "Saya mendapatkan semua ini, saya sudah selesai, " kata Potts. Jika mereka tidak menerima pembaruan rutin dan informasi tentang postur keamanan keseluruhan organisasi, maka tidak ada alasan untuk merevisi pandangan itu. Tapi bukan itu yang seharusnya. "Skenario saat ini tidak 'diatur dan dilupakan, '" kata Potts.
Sementara survei tidak bertanya mengapa personel TI tidak mengangkat masalah dengan C-suite, Potts menyarankan masalah itu mungkin terkait dengan bagaimana keamanan diukur dalam organisasi. Setengah dari responden mengatakan mereka tidak memiliki metrik untuk mengukur efektivitas kemampuan respons insiden mereka. Ini berarti mereka tidak dapat menerjemahkan ancaman dan masalah ke dalam bahasa yang dapat dipahami atau dipahami oleh para eksekutif senior - yang peduli dengan bisnis secara keseluruhan.
Juga sangat mungkin bahwa bahkan jika diskusi tentang keamanan terjadi, para eksekutif menerima versi masalah yang sangat "dipermudah", kata Potts.
"Sekarang adalah waktunya bagi eksekutif tingkat C dan pembuat keputusan TI untuk berkumpul dan mengembangkan rencana respons insiden yang lebih kuat dan lebih komprehensif. Komunikasi ini sangat penting jika kita ingin mengurangi frekuensi mengejutkan dari pelanggaran data profil tinggi dan merusak perusahaan. kerugian yang kita saksikan di media hampir setiap hari, "kata Potts.
Masalah Uang
Bagian dari masalah adalah masalah investasi. Setengah dari responden dalam survei mengatakan kurang dari 10 persen dari keseluruhan anggaran keamanan mereka dialokasikan untuk respon insiden, dan meskipun laju serangan dan ancaman semakin meningkat, sebagian besar mengatakan mereka belum meningkatkan alokasi itu dalam dua tahun terakhir.
Masuk akal. Jika eksekutif tingkat C tidak menyadari apa risiko dan ancamannya, maka mereka tidak akan memprioritaskan anggaran. Jika eksekutif tahu potensi kerugian atau kerusakan akan cukup besar, maka mereka dapat bertindak sesuai untuk menutup celah itu. Eksekutif perlu "memiliki informasi yang tepat untuk melakukan investasi yang tepat, " kata Potts.
Perlu Berubah
Sekitar 68 persen responden mengatakan organisasi mereka telah mengalami pelanggaran data atau beberapa insiden keamanan lainnya dalam dua tahun terakhir. Dari kelompok itu, hampir setengah, atau 46 persen, dari responden mengatakan insiden lain sudah "dekat" dan bisa terjadi dalam enam bulan ke depan. Ini serius, dan jelas, C-suite harus peduli dan bekerja dengan IT untuk memastikan langkah-langkah yang perlu diambil, kan?
Tidak menurut survei, karena mayoritas dari 674 profesional TI dan keamanan dalam survei mengklaim mereka tidak meningkatkan masalah ini atau membiarkan eksekutif senior tahu apa yang menjulang. Membuat Anda bertanya-tanya seberapa banyak yang diketahui oleh CEO Target sebelum ia menjadi sorotan nasional dan diminta untuk membahas pelanggaran, bukan?
Potts berharap bahwa pelanggaran data di Target dan pengecer lainnya akan bertindak sebagai panggilan untuk orang lain. Mungkin Target akan mengubah cara organisasi berkomunikasi, dan "membuatnya mudah untuk memberi tahu C-suite tentang masalah keamanan, " kata Potts.
Klik untuk melihat gambar lengkap
