05.03.2019
Согласно отчету Deloitte, неправильная расстановка приоритетов в отношении рисков при потоке уязвимостей приводит к тому, что специалисты по ИТ-безопасности слишком беспомощны и не могут обеспечить адекватную поддержку.
Соблюдение политик кибербезопасности является трудной задачей для предприятий, так как громкие нарушения данных лежат в основе либо ложного чувства безопасности, либо неадекватной защиты, применяемой к системам в данной организации. С появлением новых норм, таких как BYOD, и ростом популярности приложений, написанных на Node.js, которые имеют обширные зависимости от сторонних пакетов, значительно расширилась потенциальная зона атаки, которую сложно охватить специалисту по ИТ-безопасности.
В 2019 году организация Deloitte Future of Cyber Survey, руководители которой осуществляют надзор за кибербезопасностью в компаниях с годовым доходом 500 миллионов долларов и более, обнаружила три основные проблемы, с которыми сталкиваются предприятия при внедрении эффективных мер кибербезопасности:
Около 30% респондентов указали на трудности приоритезации потенциальных рисков в своей организации. Учитывая объем обнаруженных уязвимостей в программном обеспечении, это не вызывает удивления, особенно с учетом того, что увеличение числа официально обозначенных уязвимостей совпадает с уменьшением их понимания и общей картины безопасности. Несмотря на то, что широко распространенные уязвимости, такие как Spectre и Meltdown, требуют исправлений, они не особенно активно эксплуатируются, и использование этих уязвимостей является умеренно сложной задачей.
Заниматься C-Suite достаточно долго, чтобы сосредоточиться на теме, которая не приносит дохода, может быть сложной задачей, о чем свидетельствуют 28% респондентов, утверждающих, что у руководства отсутствует согласованность по приоритетам. Это представляет большой риск для компаний, особенно, согласно отчету о безопасности на основе рисков, 2018 год стал вторым наиболее активным годом по количеству утечек данных.
Около 26% респондентов указали на отсутствие адекватного финансирования мер кибербезопасности - проблема, которая широко распространена среди компаний, поскольку ИТ-отделы в целом высмеиваются как денежные ямы теми, кто не понимает важной роли, которую играют ИТ-специалисты, а также их организация, или в глобальной цифровой экономике. В отчете Gartner от ноября 2018 года приводятся еще восемь причин, по которым генеральные директора будут уволены за нарушения кибербезопасности . Если нельзя подать апелляцию по существу кибербезопасности, возможно, апелляция к самосохранению может освободить некоторые средства от изношенных карманов скупых руководителей.
Существует также несоответствие в подходах ИТ к безопасности, так как опрос показал, что 85% респондентов сообщают, что используют Agile или DevOps для разработки приложений, но при этом уровень DevSecOps ранжируется на уровне 11% среди приоритетов киберзащиты и инвестиций.
Нарушение кибербезопасности
Соблюдение политик кибербезопасности является трудной задачей для предприятий, так как громкие нарушения данных лежат в основе либо ложного чувства безопасности, либо неадекватной защиты, применяемой к системам в данной организации. С появлением новых норм, таких как BYOD, и ростом популярности приложений, написанных на Node.js, которые имеют обширные зависимости от сторонних пакетов, значительно расширилась потенциальная зона атаки, которую сложно охватить специалисту по ИТ-безопасности.
В 2019 году организация Deloitte Future of Cyber Survey, руководители которой осуществляют надзор за кибербезопасностью в компаниях с годовым доходом 500 миллионов долларов и более, обнаружила три основные проблемы, с которыми сталкиваются предприятия при внедрении эффективных мер кибербезопасности:
Невозможность определить приоритеты риска кибербезопасности на предприятии
Около 30% респондентов указали на трудности приоритезации потенциальных рисков в своей организации. Учитывая объем обнаруженных уязвимостей в программном обеспечении, это не вызывает удивления, особенно с учетом того, что увеличение числа официально обозначенных уязвимостей совпадает с уменьшением их понимания и общей картины безопасности. Несмотря на то, что широко распространенные уязвимости, такие как Spectre и Meltdown, требуют исправлений, они не особенно активно эксплуатируются, и использование этих уязвимостей является умеренно сложной задачей.
Отсутствие согласованности управления по приоритетам
Заниматься C-Suite достаточно долго, чтобы сосредоточиться на теме, которая не приносит дохода, может быть сложной задачей, о чем свидетельствуют 28% респондентов, утверждающих, что у руководства отсутствует согласованность по приоритетам. Это представляет большой риск для компаний, особенно, согласно отчету о безопасности на основе рисков, 2018 год стал вторым наиболее активным годом по количеству утечек данных.
Отсутствие адекватного финансирования
Около 26% респондентов указали на отсутствие адекватного финансирования мер кибербезопасности - проблема, которая широко распространена среди компаний, поскольку ИТ-отделы в целом высмеиваются как денежные ямы теми, кто не понимает важной роли, которую играют ИТ-специалисты, а также их организация, или в глобальной цифровой экономике. В отчете Gartner от ноября 2018 года приводятся еще восемь причин, по которым генеральные директора будут уволены за нарушения кибербезопасности . Если нельзя подать апелляцию по существу кибербезопасности, возможно, апелляция к самосохранению может освободить некоторые средства от изношенных карманов скупых руководителей.
Дополнительные проблемы ИТ
Существует также несоответствие в подходах ИТ к безопасности, так как опрос показал, что 85% респондентов сообщают, что используют Agile или DevOps для разработки приложений, но при этом уровень DevSecOps ранжируется на уровне 11% среди приоритетов киберзащиты и инвестиций.
