Bár az információbiztonsági vezetők munkáján rengeteg múlik, szerepüket sok vállalat továbbra is alulértékeli, derült ki az EY globális felméréséből. A felgyorsult digitális átalakulás miatt a CISO-k helyzetén is sürgősen változtatni kellene, amihez a tanácsadó cég lépéseket ajánl.
Miközben a szervezetek több mint háromnegyedénél nőtt a súlyos támadások száma, az EY felmérésében (Global Information Security Survey 2021) a válaszadók 56 százaléka beismerte, hogy a távmunka feltételeinek gyorsabb megteremtése érdekében vállalatánál megkerülték a kiberbiztonsági folyamatokat, 39 százalékuk pedig arról is beszámolt, hogy nélkülözi az újabb kihívások megválaszolásához szükséges pénzügyi keretet. Jelentősen növeli mindez a kockázatokat, amelyek kezeléséről Zala Mihályt, az EY technológiai tanácsadásért és kibervédelmi szolgáltatásokért felelős vezetőjét kérdeztük.
Computerworld: Hogyan változott a biztonság és a CISO szerepe a járványhelyzetben?
Zala Mihály: A COVID-19 alatt minden vállalatnak alkalmazkodnia kellett a változásokhoz. A progresszív szervezetek új, ügyféloldali technológiákat vezettek be a távmunka támogatására és az üzleti csatornák nyitva tartására. A gyors átállásnak azonban komoly ára lehet, mivel a kényszerhelyzetben a vállalatok a döntéshozatalban gyakran figyelmen kívül hagyták a biztonságot.
Új támadási felületek, rések keletkeztek így a hirtelen változó környezetben, ami komoly fenyegetést jelent az üzletre nézve. Az idő előrehaladtával pedig annak is egyre nagyobb a kockázata, hogy az új munkamódszereket megtartó vállalatok a problémák orvoslása nélkül továbblépnek. A közelmúlt zsarolóvírusos támadásai élesen rávilágítanak az azonnali cselekvés kritikus fontosságára.
CW: Milyen kihívásokkal szembesülnek a CISO-k az előállt helyzetben?
ZM: A pandémia alatt jelentősen gyakoribbá váló kibertámadások közül sok a tervezés szakaszában kidolgozott biztonsági kontrollokkal elkerülhető lett volna. A biztonság beépítésével a CISO-k az üzleti növekedést elősegítő szerephez juthatnak a vállalatoknál, de ehhez három alapvető kihívást kell megválaszolniuk a finanszírozás, a megfelelés és a vezetés vonatkozásában.
Súlyosan alulfinanszírozott terület a kiberbiztonság, GISS kutatásunk szerint a vállalatok éves bevételük mindössze 0,05 százalékát költik rá, ami globális átlag, itthon még rosszabb lehet az arány. Forrásokra pedig nagyobb szükség van, mint valaha, pénzügyi támogatás nélkül minden CISO esélytelen.
A compliance környezet széttagoltsága, a helyi, régiós és globális, valamint iparági szabályozás követelményeinek betartása olyan többletmunkával jár, amely fejlesztés hiányában a kiberbiztonság területén is erőforrásokat von el a feladatoktól.
Felmérésünk szerint a vállalatok több mint felénél a beruházásokat, fejlesztéseket előkészítő üzleti és informatikai oldal nem konzultál mindig időben a kiberbiztonsági csapattal. A kockázatos gyakorlat javításához a CISO-knak ezért szorosabb kapcsolatot kell kialakítaniuk a felsővezetéssel.
CW: Hogyan válaszolhatják meg ezeket a kihívásokat és teremthetnek értéket a jövőben a CISO-k?
ZM: A szűkös költségvetés miatt a CISO-k kénytelenek kompromisszumokat kötni az új kezdeményezésekbe történő beruházások és a meglévő kiberkockázatok kezelése között. Keretük ráadásul változatlan marad olyan időszakban, amikor a biztonságnak a vállalatok dinamikus igényeit kellene szolgálnia. A helyzet javítása és az átalakulás támogatása érdekében a kiberbiztonsághoz köthető költségeket meg kellene osztani az egész vállalaton belül - amit jelenleg csak a szervezetek 15 százaléka tesz meg -, ehhez pedig az üzleti célok összehangolásán, új pénzügyi, elszámolási és kommunikációs mechanizmusokon keresztül vezet az út.
A szabályozási környezet bonyolultságából eredő problémák megoldásához szükséges megérteni, hogy a compliance hol helyezkedik el az érdekelt felek térképén. A CISO-k a "balra tolás" elvét követik, arra törekednek, hogy minél korábban bevonják a folyamatokba a kiberbiztonságot, ehhez azonban meg kell érteniük, hogyan navigálhatnak sikerrel a négy kulcsfontosságú csoport - a menedzsment, a mérnökök, termékmenedzserek és ügyfelek, a megfelelés felett őrködő jogászok, valamint az ellátási lánc szereplői - között. Kimondottan biztonságra egyikük sem fókuszál, a prioritásokat a CISO-nak kell érvényre juttatnia.
További információ az EY Globális Információbiztonsági Tanulmányáról. Olvassa el Zala Mihály véleménycikkét az EY.hu-n >>>
Tanácsadóként szükséges megjelenniük az információbiztonsági vezetőknek a döntéshozatal legkorábbi szakaszaiban, de a kiberbiztonság és más vállalati funkciók kapcsolatából hiányzik az együttműködési készség. Tízből négy CISO mondja, hogy rossz a kapcsolata a marketinggel és a HR-rel, pedig e területeknek együtt kellene működniük a kiberbiztonsággal az új technológiák és munkamódszerek értékelésében, bevezetésében.
A probléma megoldásához a CISO-nak a humán erőforrások felmérésével meg kell találnia a különböző feladatokra legalkalmasabb embereket, de ne várjon lehetetlent. A szakmában nélkülözhetetlen készségek skálája egyszerre bővül minden téren. A legjobb megközelítés ezért egy olyan csapat felépítése, amely minden erősségükkel és gyengeségükkel együtt egyensúlyban tartja a képességek kombinációját.
Hogyan válhat a kiberbiztonság a vállalati növekedést elősegítő funkcióvá? Erre is választ kaphat az EY októberi eseményén. Iratkozzon fel hírlevelükre, és vegyen részt rendezvényeiken. Feliratkozás >>>