43% ankietowanych przez EY oficerów ds. bezpiecze?stwa informacji (CISO) nigdy dot?d nie martwi?o si? w takim stopniu jak obecnie, o zdolno?? ich firm do odpierania cyberzagro?e?. 77% ostrzega, ?e mia?o w ostatnich 12 miesi?cach do czynienia ze wzrostem liczby ataków typu ransomware, a to wszystko w ?rodowisku pandemicznym, w którym 81% firm nie konsultowa?o planów nowych inicjatyw biznesowych z dzia?ami cyberbezpiecze?stwa .
Rys. 1. Czy dostrzegasz wzrost liczby ataków w ostatnich 12 miesi?cach?
Ankietowani w ramach Ogólno?wiatowego Badania Bezpiecze?stwa Informacji EY (GISS – Global Information Security Survey) zwracaj? równie? uwag?, ?e pandemia ujawni?a luki w szeroko rozumianym ekosystemie, obejmuj?cym ?a?cuch zale?no?ci firm, a tylko jeden na trzech CISO jest przekonany, ?e ca?y ?a?cuch dostaw w ich organizacji jest pod tym wzgl?dem zabezpieczony i odporny.
– Skupienie na s?abych punktach w ekosystemie partnerskim organizacji, to jeden z oczywistych postpandemicznych priorytetów dla osób odpowiadaj?cych za bezpiecze?stwo w firmach. Cho? wcze?niej ten problem by? mniej dostrzegany, podczas pandemii zosta? uwidoczniony, u?wiadamiaj?c tym samym wielu organizacjom, jak powa?ne zagro?enia mo?e nie?? za sob? z?e zabezpieczenie tak zwanych stron trzecich, dostarczaj?cych us?ugi, produkty czy rozwi?zania. Relacje z podmiotami trzecimi zwi?kszaj? bowiem liczb? punktów, poprzez które organizacja mo?e by? potencjalnie zaatakowana. Dlatego tak wa?ne jest, by podlega?y one sta?emu monitoringowi pod k?tem zagro?e?– mówi Kazimierz Klonecki, Partner EY i Lider Dzia?u Cyberbezpiecze?stwa.
To nie koniec wyzwa?, na które wskazali w tym roku ankietowani w badaniu EY. Blisko 40% CISO zwróci?o uwag? na to, ?e nie dysponuje bud?etem odpowiednim do wyzwa?, które pojawi?y si? w ich firmach w ostatnich 12 miesi?cach. Wydatki na cyberbezpiecze?stwo stanowi?y w ostatnim roku finansowym ?rednio zaledwie 0.05% przychodów badanych firm. Co wi?cej, 36% ankietowanych jest zdania, ?e kwesti? czasu jest to, ?e ich organizacje do?wiadcz? znacz?cego incydentu z zakresu cyberbezpiecze?stwa, którego mo?na by unikn??, dzi?ki odpowiednim inwestycjom.
– Z badania EY wynika, ?e wi?kszo?? kosztów zwi?zanych z cyberbezpiecze?stwem w firmach, alokowana jest w szeroko rozumianych bud?etach IT lub w wydatkach na technologi?. To z jednej strony utrudnia w?a?ciwe i elastyczne zarz?dzanie takim bud?etem, a z drugiej pokazuje, jak rozumiane i postrzegane s? funkcje CISO w organizacjach. Co wi?cej – w cz??ci organizacji niewystarczaj?ca wysoko?? bud?etów w r?kach mened?erów zajmuj?cych si? cyberbezpiecze?stwem, powoduje konieczno?? dopasowania stosowanych rozwi?za? i presj? na zmniejszanie kosztów w pe?nym zagro?e? ?rodowisku. Tym samym CISO stale walcz? o to, by wype?ni? luk? mi?dzy potrzebami a mo?liwo?ciami finansowania – mówi Jakub Walarus, Associate Partner EY w Dziale Cyberbezpiecze?stwa.
Przed CISO stoj? te? wyzwania wynikaj?ce z relacji z innymi dzia?ami i osobami odpowiedzialnymi za podejmowanie decyzji. Cho? jeszcze w ubieg?orocznym badaniu 36% respondentów by?o pewnych, ?e zespo?y cyberbezpiecze?stwa bior? udzia? w konsultacjach na etapie planowania nowych inicjatyw biznesowych, w tym roku wynik ten spad? do 19%. A? 56% badanych przyznaje, ?e zespo?y odpowiadaj?ce za cyberbezpiecze?stwo nie bior? udzia?u w konsultacjach, albo do??czaj? do nich zbyt pó?no podczas podejmowania przez liderów pilnych, strategicznych decyzji.
Rys. 2. W jakim stopniu poni?sze sytuacje dotycz? Twojej firmy
– Jak pokazuj? najnowsze wyniki badania EY, funkcja CISO w firmie jest cz?sto nadal niedoceniana. Zaskakuj?ce i niepokoj?ce s? szczególnie wyniki wskazuj?ce, ?e osoby odpowiedzialne za bezpiecze?stwo informacji, nie tylko nie zyskuj? na znaczeniu, ale wr?cz rzadziej ni? jeszcze rok temu s? stron? rozmów o strategicznych dla organizacji planach, wdro?eniach i kierunkach rozwoju. Cz??? firm zdaje ju? sobie spraw?, ?e funkcje bezpiecze?stwa informacji s? kluczowe dla ich dzia?alno?ci, ale wci?? istnieje jeszcze grupa tych, postrzegaj?cych CISO jako hamulcowych, którzy spowalniaj?, a wr?cz wstrzymuj? cz??? biznesowych inicjatyw. Pokazuje to, ?e CISO nie mog? by? jedynie ekspertami technicznymi, ale musz? tak?e sprawnie porusza? si? w swoich organizacjach, komunikuj?c si? j?zykiem biznesu. Pozytywnym sygna?em p?yn?cym z badania jest jednak to, ?e cz??ciej ni? w ubieg?ym roku, osoby obejmuj?ce funkcje bezpiecze?stwa wspó?pracuj? z pracownikami odpowiedzialnymi za ryzyko – dodaje Patryk G?borys, Associate Partner EY w Dziale Cyberbezpiecze?stwa.
Wyzwaniem stoj?cym przed CISO s? równie? z?o?one i skomplikowane regulacje. ?rodowisko prawne jest niejednorodne i szefowie bezpiecze?stwa informacji – szczególnie w mi?dzynarodowych organizacjach – musz? funkcjonowa? w wielu jurysdykcjach jednocze?nie (np. na poziomie krajowym, regionalnym czy globalnym). Co wi?cej, musz? równie? stosowa? si? do wymogów prawnych, w?a?ciwych dla konkretnego sektora dzia?alno?ci organizacji (np. us?ug finansowych). O tym jak wymagaj?ce jest to wyzwanie, ?wiadczy fakt, ?e niemal po?owa ankietowanych w tegorocznym badaniu EY przyzna?a, ?e compliance jest jednym z najbardziej stresuj?cych wyzwa? w pracy CISO.
57% badanych przewiduje z kolei, ?e w nadchodz?cych latach regulacje stan? si? jeszcze bardziej niejednorodne i b?d? wymaga? po?wi?cenia im dodatkowej uwagi, a tym samym czasu.
– W najbli?szym czasie znaczna cz??? aktywno?ci szefów dzia?ów bezpiecze?stwa informacji skupiona b?dzie na zapewnieniu zgodno?ci z obowi?zuj?cymi regulacjami. Skomplikowane ?rodowisko prawne sta?o si? na przestrzeni ostatniego roku powodem dla którego CISO inaczej ni? dotychczas postrzega rol? compliance. Z jednej strony bowiem przepisy prawne wymagaj? od nich coraz wi?kszego zaanga?owania czasu i zasobów, a jednocze?nie rzadziej ni? jeszcze rok wcze?niej s? argumentem w negocjacjach bud?etowych dla dzia?ów bezpiecze?stwa informacji. Jest to wi?c kolejne ogromne wyzwanie stoj?ce nie tylko przed samymi CISO, ale i ca?ymi organizacjami – dodaje Jacek Sygutowski, Associate Partner EY w Dziale Cyberbezpiecze?stwa.
O badaniu
Ogólno?wiatowe Badanie Bezpiecze?stwa Informacji EY to coroczna ankieta w?ród osób odpowiedzialnych w firmach za cyberbezpiecze?stwo. W tegorocznym badaniu udzia? wzi??o 1010 respondentów z ca?ego ?wiata. 43% stanowili respondenci z regionu EMEIA, 36% z obu Ameryk, a 20% respondentów pochodzi?o z rejonu Azji i Pacyfiku. Badanie przeprowadzono w okresie od marca do maja 2021 r. w?ród przedstawicieli firm o rocznych przychodach przekraczaj?cych 1 mld USD.
