Mnoge organizacije su preopterećene složenošću svojih IT sistema, što im otežava upravljanje cyber sigurnosnim rizicima, prema novom izvještaju kompanije Ivanti.
Izvještaj pod nazivom “Upravljanje izloženošću: Od subjektivne do objektivne cyber sigurnosti” ističe da kompanije, kako sve više koriste cloud servise i pametne uređaje, imaju poteškoće u osiguravanju svih tih tehnologija. Tehnologija je rasprostranjena na različite sisteme, što otežava potpuni uvid i određivanje prioriteta pri upravljanju rizicima.
Ključni nalazi
- Zastarjeli softver: 48% stručnjaka za sigurnost navodi da koriste softver kojem je istekao životni vijek, što znači da više ne dobija sigurnosne nadogradnje, ostavljajući sisteme ranjivim na napade.
- Rizici trećih strana: 43% organizacija nije identifikovalo najranjivije komponente u svom lancu isporuke softvera, povećavajući rizik od proboja putem vanjskih dobavljača.
- Izolovani podaci: 55% IT stručnjaka tvrdi da su sigurnosni i IT podaci u njihovim organizacijama izolovani, što otežava otkrivanje prijetnji i odgovor na njih.
- Sjenoviti IT: 45% stručnjaka za sigurnost ima problema s otkrivanjem neautoriziranih uređaja i aplikacija (poznatih kao “shadow IT”), koji mogu unijeti neprovjerene ranjivosti.
Upravljanje izloženošću kao most između sigurnosti i poslovanja
Upravljanje izloženošću (Exposure Management) je pristup koji povezuje cyber sigurnost s poslovnim ciljevima. Pomaže organizacijama da sagledaju rizik u širem kontekstu: šta je najvažnije za poslovanje, šta je najviše ugroženo i šta treba prvo riješiti.
Ipak, iako mnogi stručnjaci za sigurnost razumiju koncept upravljanja izloženošću, on se još nije značajnije primijenio u praksi. Ivanti izvještaj pokazuje da otprilike polovina stručnjaka misli da njihovo rukovodstvo ima dobro razumijevanje tog koncepta. Međutim, samo 22% kaže da njihove kompanije planiraju povećati ulaganja u ovu oblast sljedeće godine.
Pozitivno je što 73% kompanija pokušava mjeriti cyber rizik kako bi rukovodstvo moglo donositi informisane poslovne odluke. Međutim, izvještaj takođe otkriva raskorak između timova za sigurnost i rukovodstva u pogledu kriterija za procjenu rizika.
Ova razlika u razumijevanju nije nova. Timovi za sigurnost i poslovni lideri već dugo imaju poteškoće u međusobnoj komunikaciji. Čak i kada su rukovodioci zainteresovani za cyber sigurnost, često ne znaju kako efikasno razgovarati s tehničkim timovima. S druge strane, stručnjaci za sigurnost ne znaju uvijek kako svoje brige predstaviti na način koji je razumljiv poslovnim liderima.
Samo 40% stručnjaka za sigurnost kaže da njihovi rukovodioci efikasno komuniciraju rizike prema upravi. Upravo tu može pomoći upravljanje izloženošću. Ono pruža okvir koji timovi za sigurnost mogu koristiti kako bi objasnili rizike i povezali ih s poslovnim rezultatima – čak i menadžerima koji nemaju pozadinu u sigurnosti.
Izvor:Help Net Security