Około 59% dyrektorów przyznaje, że ich komisje dążą do nadzoru nad ryzykiem cybernetycznym, a tylko 19% twierdzi, że ich komitety posiadają wysoki poziom wiedzy na temat cyberbezpieczeństwa – zgodnie z analizą przeprowadzoną przez National Association of Corporate Governors

„Dyrektorzy nadal walczą z efektywnym nadzorem nad cyber-ryzykiem. Wielu z nich nie ma pewności czy ich firmy są odpowiednio zabezpieczone i uznają, że ich rada nadzorcza nie posiada wystarczającej wiedzy na temat rosnącego ryzyka”- piszą autorzy badania.

Ponad dwie trzecie dyrektorów czuje się pewnie, a 5% z nich jest bardzo zadowolonych z faktu, że ich firma jest właściwie zabezpieczona przed cyberprzestępczością. Wielu z nich może jednak nie dysponować wiedzą lub odpowiednimi informacjami, aby zapewnić że zabezpieczenia cybernetyczne są rzeczywiście skuteczne – jak twierdzą respondenci.

Główne firmy zajmujące się zagrożeniami internetowymi nie są przygotowane na ataki z zewnątrz (43%), luki w zabezpieczeniach (38%), sabotaż wewnętrzny (35%), błędy użytkownika (35%) i phishing (35%) – zgodnie z ankietą Bitdefender na amerykańskich decydentach IT.

 

Ataki zewnętrzne i luki w zabezpieczeniach stanowią poważne zagrożenie dla wszystkich firm oraz są głównym problemem, na które firmy nie są przygotowane. Dyrektorzy firm są świadomi, że cyberprzestępcy mogą spędzać dużo czasu wewnątrz organizacji bez wykrycia. Pełen raport z ankiety przeczytasz >tutaj<.

 

W przypadku problemu z bezpieczeństwem – NACD zaleca dyrektorom i kierownictwu skupienie się na następujących obszarach:

 

  • Jakie dane są zagrożone – ile możemy ich stracić, ile może zostać ujawnionych?

 

Dyskusje na temat tolerancji na ryzyko pomogą określić poziom cyberbezpieczeństwa, który organizacja jest w stanie zaakceptować. Kluczowym krokiem jest rozróżnienie danych krytycznych od mienia i danych, które są mniej istotne.

 

  • W jaki sposób nasze inwestycje ograniczające ryzyko cybernetyczne mogą zostać rozdzielone na podstawowe i zaawansowane systemy obronne?

 

Rozważając jak zapobiegać bardziej złożonym zagrożeniom, kierownictwo powinno skoncentrować się przede wszystkim na wyrafinowanych systemach obronnych mających na celu ochronę najważniejszych danych firmy. Większość organizacji zgadza się z tym – badania ze Stowarzyszenia ds. Łączności i Sił Zbrojnych (AFCEA) wskazują, że firmy zazwyczaj stosują środki bezpieczeństwa w równym stopniu dla wszystkich danych i funkcji. To samo badanie AFCEA, cytowane przez NACD, zauważa, że ochrona systemów o niskim poziomie ważności może wymagać większych inwestycji niż jest to uzasadnione. W przypadku aktywów o niższym priorytecie organizacje powinny rozważyć zaakceptowanie większego ryzyka związanego z bezpieczeństwem niż w przypadku aktywów o wyższym priorytecie, ponieważ koszty obrony prawdopodobnie przekroczą korzyści. Komitety powinny zachęcać kadry kierownicze do inwestowania w dziedziny cyberbezpieczeństwa w zakresie ROI i regularnie oceniać zwrot z inwestycji, ponieważ koszty ochrony i priorytety aktywów przedsiębiorstwa będą zmieniać się z biegiem czasu.

 

  • Jakie są dostępne opcje, by pomóc nam w przenoszeniu niektórych zagrożeń?

 

Organizacje wszystkich branż mają dostęp do kompleksowych rozwiązań, które mogą pomóc złagodzić i przenosić pewne cyberzagrożenia. Poza zapobieganiu stratom finansowym, narzędzia te mogą pomóc złagodzić ryzyko uszkodzenia mienia i „obrażeń“. Niektóre rozwiązania obejmują także dostęp do narzędzi proaktywnych, szkoleń pracowników, bezpieczeństwa informatycznego i usług reagowania na ekspertyzy, aby dodać kolejną warstwę ochrony i wiedzy fachowej. Wybierając partnera cyber-ubezpieczeniowego ważne jest, aby organizacja mogła wybrać operatora z szerokim zakresem możliwości, wiedzy, doświadczenia rynkowego i możliwości innowacyjnych, które najlepiej odpowiadają potrzebom organizacji.

 

  • Jak powinniśmy oceniać wpływ zdarzeń cybernetycznych?

 

Przeprowadzenie odpowiedniej oceny skutków może być trudne, biorąc pod uwagę szereg czynników, które na to wpływają. Aby podjąć tylko jeden przykład, publikacja o naruszeniach danych może znacznie skomplikować ocenę ryzyka. Pracownicy, klienci, dostawcy, inwestorzy, prasa, agencje rządowe i publiczne mogą widzieć niewielką różnicę między stosunkowo niewielkim naruszeniem a dużym i niebezpiecznym. W rezultacie uszkodzenie reputacji i ceny akcji mogą nie odpowiadać bezpośrednio wielkości lub powadze sytuacji. Rada powinna dążyć do zapewnienia, by kierownictwo dokładnie przemyślało te implikacje w celu opracowania swoich priorytetów w zakresie zarządzania ryzykiem cybernetycznym.

 

Informację można dowolnie wykorzystać podając markę Bitdefender jako źródło.

Marken Systemy Antywirusowe – oficjalny przedstawiciel marki Bitdefender w Polsce.

 

Źródło: https://businessinsights.bitdefender.com/corporate-boards-struggling-cybersecurity

0 0 votes
Article Rating

Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments