Докладът “Преодоляване на културната пропаст за по-добри бизнес резултати”, проведен от независимата асоциация ISACA и Института CMMI, показва, че има огромна разлика между настоящата и желателната организационна култура на киберсигурност. Само 5% от участниците в глобалното проучване възразяват срещу това твърдение и смятат, че тяхното ниво на киберсигурност е задоволително, гласи прессъобщението на ISACA.
Повече от 4 800 професионалисти от сферата на бизнеса и технологиите се включиха в глобалното изследване, проведено от ISACA и Института CMMI през юни 2018 г. посредством онлайн гласуване. Резултатите бяха обявени тази седмица по време на конференцията за киберсигурност CSX North America на ISACA в Лас Вегас.
Според доклада отговорността за киберсигурността не трябва да лежи само в ръцете на стратегическите лидери, но и да зависи от всеки служител. Тя трябва да стане част от ежедневните дейности и да се превърне в навик. Ето защо приоритизирането на инвестициите за обучение могат да бъдат важен механизъм за устойчива култура на киберсигурност. Други стъпки, които биха могли да доведат до завишена бдителност и подобряване на тази култура, са годишното измерване и оценяване на възгледите на служителите относно киберсигурността.
Този подход тип „всеки трябва да помогне” за противопоставянето срещу киберзаплахите трябва да бъде развит, тъй като едва 34% от участниците в изследването казват, че разбират ролята си в киберкултурата на организациите си.
Дъг Грайндстаф II, старши вицепрезидент на „Решения относно киберсигурността” в Института CMMI, коментира резултатите:
„Получаваме значителна обратна връзка за това как компаниите могат да въвлекат и служителите. Предизвикателство е, но организациите с право са загрижени за нарастващото ниво на сложност на кибератаките.”
Притеснителните резултати показват и че само 7% от участниците считат нивото на културата на киберсигурност на тяхната организация за отлично. В подобни компании, които тепърва ще изграждат ефикасна киберкултура, 58% изтъкват липсата на подобаващ мениджърски план или ключов показател за ефективност. Организациите със слаба култура на киберсигурност стават по-уязвими за:
Киберпробиви
Изпуснати бизнес възможности
Загуба на данни
Слабо задържане на клиенти
Регулаторни наказания
Стивън Дж. Рос, изпълнителен директор на Risk Masters International и автор на Creating a Culture of Security, е цитиран в този доклад:
„Повечето хора не обичат да им се казва какво да правят, дори и самите те да знаят, че не бива да вършат тези неща. Когато сигурността е представена като израз на доверие, постоянство,благонадеждност, предвидимост и продуктивност, става много по-лесно да привлечеш и други в едно упражнение за подобряване на културата.”
Ако трябва да бъдем реалисти, всяка полза върви с определена цена. В това изследване организациите, които докладват значителна пропаст между настоящото и желателното ниво на културата си, харчат 19% от годишния си бюджет за киберсигурност за обучение и други мерки. В рязък контраст, онези фирми, които докладват липсата на такава пропаст в желателната си култура на киберсигурност, харчат близо два пъти повече – 43%.
Въпреки това изследователите твърдят, че не всичко опира до парите. Председателят на борда на ISACA Роб Клайд вярва, че признак за усъвършенствана комуникация в рамките на една организация е разискването на назряващите заплахи и рискове. Мнозина не споделят тази информация от страх репутацията им да не пострада.
„Хората имат склонност да подценяват възможните вреди и да надценяват способността на технологиите да ограничи тези инциденти. Това излага организацията им на риск”, споделя Клайд.
Той също така подчертава липсата на познания относно назряващите атаки и рискове, както и за активите, застрашени от заплахите за киберсигурността, като фактор за наглед нелогичното отлагане на инвестирането в културна стратегия за киберсигурност.
Можете да откриете целия доклад “Преодоляване на културната пропаст за по-добри бизнес резултати” тук.
Снимка: Pixabay
