מחקר: 2/3 מהארגונים לא יכולים לאבטח את עצמם 24/7

בארגונים רבים ישנם פערי אבטחה גדולים, מאחר שהמנהלים לא מעניקים למנהלי האבטחה את הכלים המספקים לשמירה על המידע הארגוני – כך עולה ממחקר חדש של טרנד מיקרו.

המחקר, שחשף את פערי חוסן הסייבר בקרב ארגונים בעולם, מעלה כי רבים מהם סובלים מחוסר במשאבים, היעדר פרקטיקות לניהול משטחי תקיפה פוטנציאליים והיעדר התמיכה של ההנהלה, שלא דוחפת מספיק לבדוק ולהפחית את הסיכונים במערכות הארגון. "אלה מייצגים תחומים קריטיים, שבהם נדרשים שיפורים ארגוניים", כתבו החוקרים.

במחקר השתתפו 2,600 מנהלי IT מרחבי העולם, שאחראים על אבטחת סייבר בארגונים מכל הגדלים. הם התבקשו להסביר את עמדותיהם כלפי ניהול סיכוני משטחי תקיפה (ASRM). מתשובותיהם עולה כי קיימים שלושה פערים עיקריים בחוסן של חברות בתחום אבטחת המידע: רק 36% מהם העידו כי יש להם כוח אדם ומשאבים מספקים על מנת לתפעל מערך הגנה שפועל 24/7 במשך 365 ימים בשנה. 35% בלבד ציינו שהם משתמשים בטכניקות לניהול משטח התקפה, שמסייעות להם להעריך ולנתח את הסיכונים הטמונים במשטח. בנוסף, רק 34% השיבו שבארגון שלהם מיישמים וממלאים בקפדנות אחרי רגולציות, תקנות ומסגרות עבודה בעולם אבטחת הסייבר.

נתון נוסף מעלה שמנהלים רבים הביעו חששות לגבי יכולתם לנהל את משטח התקיפה של ארגונם ביעילות. 94% מהמשיבים מודאגים ממשטח התקיפה שלהם, בעוד ששליש מודאגים מזיהוי ומצמצום אזורים בסיכון גבוה. יתר על כן, כמעט רבע מהם חסרים "מקור אמת יחיד" לניהול ולניטור סיכונים אלה.

"הנתונים מציפים בעיה משמעותית באימוץ יסודות אבטחת מידע", ציינו החוקרים. "כישלון זה של רוב החברות הגלובליות עשוי לנבוע מחוסר קבלת החלטות בתחום של מנהלים בכירים וכן מאי היכולת שלהם להבין את אחריותם". כך, כמחצית (48%) ממומחי ה-IT והאבטחה טענו כי צמרת הארגון שלהם לא רואה בהגנת סייבר את אחריות ההנהלה.

מי נושא באחריות?

עוד עולה מהמחקר כי יש בארגונים עמימות נרחבת בהקצאת אחריות: לשאלה מי נושא באחריות להפחתת הסיכון העסקי, או צריך לשאת בה, התקבל מגוון תשובות, שמעידות על חוסר בהירות בתחום. כך, כמעט שליש (31%) מהמשיבים ציינו שהתקציבים הנדרשים להם לא מגיעים מה-IT הארגוני.

החוקרים כתבו כי "קיים חוסר עקביות באופן שבו ארגונים ניגשים לסיכוני סייבר, וזו דאגה נוספת". כך, ציינו, "חוסר כיוון ברור זה לגבי אסטרטגיית אבטחת הסייבר הארגונית עשוי להיות הסיבה לכך שיותר ממחצית (54%) מהמשיבים התלוננו שגישת הארגון שלהם לסיכוני סייבר אינה עקבית, ושהיא משתנה מחודש לחודש. גישה משתנה זו עלולה להוביל למצב של ניצול פגיעויות".

לסיכום כתבו החוקרים מטרנד מיקרו כי "היעדר מנהיגות ברורה בעולם אבטחת הסייבר עלול להיות בעל השפעה משתקת על הארגון. מצב זה מוביל לקבלת החלטות באופן תגובתי, חלקי ולא יציב. חברות זקוקות למנהלי אבטחת מידע כדי לתקשר בבירור במונחים של סיכון עסקי, במטרה לערב את הדירקטוריונים שלהן. באופן אידיאלי, נדרש שלמנהלי אבטחת המידע בארגונים יהיה מקור מידע אמין ויחיד אודות משטח התקיפה, שממנו הם יוכלו לשתף עדכונים עם הדירקטוריון, לנטר סיכונים באופן רציף ולתקן בעיות באופן אוטומטי. זאת, לשיפור עמידות הסייבר של הארגון".