Criza de sănătate provocată de pandemia de Covid-19 a accelerat implementarea muncii de la distanță și a deschis noi breșe de securitate. 81% dintre decidenții consultați de EY afirmă că organizațiile lor au ocolit procesele de securitate cibernetică pentru a facilita implementarea noilor cerințe legate de telemuncă și de un regim de muncă flexibil.
Chiar dacă nevoile companiilor de a se apăra în fața atacurilor cibernetice au crescut, bugetele dedicate zonei de cyber security nu au ținut ritmul, conform raportului EY Global Information Security Survey 2021 (GISS). „Adoptarea noilor practici de muncă în contextul pandemiei a expus companiile la atacuri cibernetice tot mai numeroase și mai sofisticate și a adus în prim-plan subfinanțarea mijloacelor de apărare cibernetică”, explică experții EY. Astfel, deși numărul de atacuri cibernetice s-a intensificat în urma pandemiei, bugetele pentru securitatea cibernetică și-au păstrat același nivel redus în raport cu cheltuielile totale cu tehnologia informației, potrivit GISS.
„Deși organizațiile respondenților au înregistrat venituri medii de 11 miliarde de dolari în ultimul exercițiu financiar, valoarea medie a cheltuielilor cu securitatea cibernetică a fost de doar 5,28 milioane de dolari.”
Situația de la nivel global este asemănătoare în România consideră Cristian Zaharia, manager, forensic technnologies and discovery services în cadrul EY România, citat de zf.ro. Potrivit acestuia, investițiile majore din ultimii 10 ani, care au avut loc în zona de IT din România, au dus la o uniformizare a practicilor și procedurilor de lucru pe zona securității cibernetice specifice celor din vestul Europei și SUA. „Soluțiile antivirus rămân în continuare cel mai utilizat mijloc de protecție, însă acest lucru s-a dovedit a fi insuficient dacă nu vine în completare cu alte soluții”, a spus Cristian Zaharia.
Raportul GISS 2021 a fost realizat pe baza răspunsurilor a peste 1.000 de lideri din domeniul securității cibernetice (Chief Information Security Officer – CISO) din cadrul jucătorilor din toată lumea, iar aproape patru din zece respondenți – adică 38% – spun că bugetul organizației lor este sub nivelul necesar gestionării noilor provocări apărute în ultimele 12 luni.
Trei provocări pentru responsabilii cu securitatea cibernetică
Subfinanțarea securității cibernetice „Cheltuielile cu securitatea cibernetică nu sunt integrate corespunzător în costul investițiilor strategice, cum ar fi transformarea lanțului de aprovizionare IT. În același timp, mai bine de o treime (36%) spun că este doar o chestiune de timp până când organizația lor va suferi o breșă de securitate majoră care ar fi putut fi evitată, dacă ar fi existat investiții de un nivel adecvat în mijloacele de apărare cibernetică.”
Reglementări neunitare Conformarea la reguli devine din ce în ce mai complexă nivel global, cu cadre diferite de funcționare la nivel regional și național. Organizațiile din anumite sectoare – în special serviciile financiare și energia – trebuie, de asemenea, să gestioneze reglementările specifice industriei. Reglementările cer un timp pe care responsabilul de securitatea informației nu îl are. Unul din doi (49%) avertizează că asigurarea conformității poate fi partea cea mai stresantă la locul de muncă. Șase din 10 (57%) prezic că reglementarea va consuma mai mult timp și va deveni mai eterogenă, ba chiar haotică, în anii următori.
Se înregistrează o modificare fundamentală a modului în care CISO se raportează la conformitate, ceea ce are implicații îngrijorătoare pentru relația lor cu autoritățile de reglementare. În raportul GISS al EY din 2020, responsabilii cu securitatea informației erau încă încrezători cu privire la rolul conformării. Anul acesta, ei spun că lucrurile s-au schimbat, iar conformarea a devenit un proces atât de fragmentat și de complex încât constituie o distragere a atenției.
În plus, decidenții sunt mai puțin încrezători în acest an că reglementarea ajută la îmbunătățirea standardelor de securitate cibernetică în organizații.
Izolați și ignorați Conform raportului GISS, relațiile dintre liderii în securitate cibernetică și cei care dețin poziții importante în cadrul organizației sunt lipsite de deschidere și de forță, astfel că, circa 41% dintre liderii în securitate cibernetică au descris relația lor cu zona de marketing drept negativă, în timp ce 28% au menționat că relația cu proprietarii companiei lasă de dorit.
Ca urmare, față de 2020, când mai mult de o treime dintre respondenți (36%) erau încrezători că echipele de securitate cibernetică erau consultate în etapa de planificare a noilor inițiative de afaceri, ponderea s-a redus la 19% în 2021. E adevărat, pe de altă parte, că tendința de adâncime este ca securitate cibernetică să fie mai prezentă în majoritatea etapelor de business: proiectare – 35%, față de 27%, dezvoltare – 14%, față de 9%, testare – 7%, față de 5%, implementare – 13%, față de 7%, utilizare – 7%, față de 3%.