В докладе говорится, что только 5% предприятий имеют киберэксперта
Отчет Bitsight and Diligent, включающий данные 4000 средних и крупных компаний со всего мира, показал, что только 5 % компаний имеют в штате киберэксперта.
В то же время была обнаружена корреляция между строгими мерами кибербезопасности и более высокими финансовыми показателями.
Фактически, финансовые показатели компаний, обеспечивающих кибербезопасность, обычно в четыре раза выше, чем у компаний, которые этого не делают.
«Чтобы добиться хороших результатов в области кибербезопасности, нужна деревня! В течение многих лет мы обсуждали тактические и технические уровни защиты, как луковицу, в то же время игнорируя те же потребности на уровне руководства», — говорит Кен Данэм, директор по киберугрозам в отделе исследования угроз Qualys.
«Недостаточно только повысить известность и авторитет директора по информационной безопасности или создать совет директоров, занимающийся вопросами кибербезопасности. Для достижения зрелости кибербезопасности, проявляющейся в операционной деятельности, требуется целая экосистема и культура организации, объединенная и согласованная, с четкими целями и приоритетами».
В отчете показано, что строго регулируемые отрасли (например, здравоохранение) обладают более высокими показателями кибербезопасности, чем другие. Аналогичным образом, организации, которые использовали специализированные комитеты по рискам или аудиту, обычно имели более высокие показатели кибербезопасности.
«Столпы успеха часто связаны с руководством сверху вниз, которое понимает это видение и то, что на самом деле представляет собой риск, а также то, как объединить, расширить возможности и согласовать глобальные разрозненные команды.
В организационном плане в этом участвуют все — от совета директоров до отдельных зрелых групп управления рисками, аудита, безопасности и других, и все они работают вместе над операциями, основанными на регулировании, соблюдении требований и кибербезопасности, чтобы обеспечить эффективность и действенность результатов», — говорит Кен.
«Как только организация сможет стать управляемой процессами, а не людьми, полностью зависящими от SecOps, процесс управления рисками управления может быть автоматизирован и оптимизирован для определения приоритетности рисков с измеримыми результатами по сравнению с теми, которые не реализуют эти основные компоненты риска. программа управления».
