מחקר: הנהלות לוקות ב-"עייפות סייבר"

קיימים פערי תפיסות בין חברי הנהלה ובין מובילי האבטחה בארגונים, כך על פי מחקר חדש של יבמ (IBM).

המכון לערך עסקי (IBV) של הענק הכחול ערך מחקר שהוא ניתוח סקר שבוצע בקרב 300 חברים בהנהלות הבכירות של ארגונים, ו-300 מנהלי אבטחה ובכירים בתחום. זאת, על מנת לזהות ניגודים ופערים בתפיסות בין הקבוצות האלה.

מהמחקר עולה כי 60% מחברי ההנהלות מאמינים שעלויות אבטחת הסייבר "יצאו משליטה" ונוטים להתייחס לאבטחה כאל הוצאה – במקום ככלי ליצירת יתרון תחרותי.

כך, עלה כי קיימים פערי תפיסות משמעותיים בין חברי הנהלות ובין מנהלי האבטחה בארגונים – בכל הנוגע לאבטחת מידע והגנת הסייבר. פערים אלה, ציינו החוקרים, גורמים ל-"עייפות סייבר" של חברי ההנהלה. עוד נתון שעלה הוא כי חברי הנהלה מציגים רמה כפולה של ביטחון – בהשוואה לאנשי האבטחה, בכל הנוגע למצב האבטחה הארגונית.

עלויות אבטחת הסייבר יצאו משליטה

רוב ברור של מנהלי אבטחה וחברי הנהלות בארגונים – 75% מהם – מסכימים כי בשנתיים האחרונות התרחבה מעורבות מועצות המנהלים בכל הנוגע לאבטחה.

לעומת זאת, מגלה המחקר שורת אתגרים במסגרת היחסים והקשר בין אנשי הנהלה ומנהלי אבטחה: כשני שליש מחברי ההנהלות שהשתתפו בסקר ביטאו עייפות לנוכח העיסוק בנושאי סייבר, כמות הבקשות, התוכניות והדרישות בתחום. 60% מחברי ההנהלות מאמינים כי עלויות אבטחת הסייבר "יצאו משליטה".

כשני שלישים מחברי ההנהלות (65%) אומרים כי הם חווים עייפות סייבר, כתוצאה מבקשות רבות מדי למשאבים, מספר גדול מדי של תוכניות בתחום, והשקעה גדולה מדי של זמן ואנרגיה מצידם.

הצגת ההחזר על ההשקעה בתחום האבטחה בפני חברי ההנהלה נותרת אתגר – גם אם שורת מחקרים מעלים כי חברות הערוכות טוב יותר לאירועי אבטחה נהנות מחיסכון משמעותי במקרים של אירועי פריצה וזליגת נתונים.

על בסיס הסקר החדש, מזהים החוקרים שורת תחומים בהם מומלץ לחברי ההנהלה ולמנהלי האבטחה הארגונית להתמקד. בין השאר, על חברי הנהלה להיות מעורבים יותר בתהליכי האבטחה, ולהתנסות בהם ברמה אישית. השתתפות חברי הנהלה בתרגולות סייבר, מאפשרת להם להבין את תפקידם במקרה של מתקפה.

בנוסף, מנהלי אבטחה צריכים לספק לחברי ההנהלה תמונה מלאה – בשפה הארגונית, בכך לסייע לחברי ההנהלה להבין את רמת המוכנות של הארגון בתחום הסייבר בהשוואה למתחרים, ולשאר השוק העולמי.

לתת תגובה למתקפות

חברי הנהלה ומובילי האבטחה בארגונים חייבים לנהל דיאלוג אודות ההשפעות הפיננסיות של אבטחת סייבר – ולהבין כי מדובר בהוצאה הכרחית: מובילי תחום האבטחה בארגונים יכולים להביא ערך כלכלי מוסף, בזכות האפשרות לשפר את הקשר עם הלקוחות, ולצמצם את הסיכונים במיזמים חדשים.

יחד עם זאת, מנהלי אבטחה צריכים להקפיד לעדכן את חברי ההנהלה גם מחוץ לישיבות ההנהלה – מבלי להציף אותם בחומר. יש להיעזר בכלים המשפרים את הנגישות לחומר, על מנת לאפשר דיאלוג מתמיד ולהציג בפני ההנהלה תמונה מקיפה של סיכוני הסייבר – והדרכים למזעורם.

לדברי דיוויד ג'ארביס, מנהל תחום האבטחה במכון לערך עסקי, "ככל שארגונים מעלים את סוגיות האבטחה לראש סדר יומם, לנוכח מתקפות הסייבר חסרות התקדים אותן חווינו לאחרונה – יהפכו הקשרים בין חברי הנהלות ובין מנהלי תחום האבטחה לקריטיים".

הוא הוסיף כי "עסקים המסוגלים לגייס רמה מעמיקה יותר של מעורבות ההנהלה – לרבות התנסות בפועל של חברי ההנהלה בתרגולות סייבר, תקשורת ברמה אסטרטגית, והתמקדות בערך העסקי של האבטחה – יהיו מוכנים יותר לתת תגובה למתקפות".