מנהלי האבטחה – נודניקים, והנהלות ארגונים מתעלמות מאזהרותיהם

מנהלי הגנת הסייבר בארגונים נכשלים בניסיונם לזכות באמון של המנהלים בארגון שלהם: הנהלות ארגונים ברחבי העולם נוטות להתעלם מההמלצות ומהאזהרות שמציגים בפניהן מנהלי הגנת הסייבר ואבטחת המידע בארגונים. כך, לא רק שמזלזלים בהם לא פעם לצד יחס שלילי, והם נתפסים כנודניקים, יש למנהלי האבטחה סיכוי גדול יותר להיות מפוטרים; כך עולה ממחקר חדש של טרנד מיקרו (Trend Micro).

ענקית האבטחה הנפיקה את המחקר על בסיס ראיונות שנערכו עם 2,600 מנמ"רים ומובילי IT בארגונים, שיש להם קשר לעולם אבטחת המידע. המחקר נושא את הכותרת: "פער האמינות של ה-CISO: איך תקשורת שבורה בחדרי הנהלות הארגונים פוגעת בחוסן הסייבר שלהם".

הממצא המרכזי העולה מהמחקר הוא, שמנהלי האבטחה לא מצליחים לזכות באמונם של מנהיגי הארגון. כך, 79% טענו כי הם חשו לחץ בחדר הישיבות, שנועד להמעיט בחומרת סיכוני הסייבר העומדים בפני הארגון שלהם.

43% אמרו כי מנהלי הגנת הסייבר נתפסים כ"נודניקים" ש"חוזרים על עצמם". 42% מהם טענו כי מנהלי האבטחה נתפסים כשליליים מדי. לגבי שליש מהם, 33%, ההנהלות התעלמו מדבריהם, וגורל חלקם היה גרוע מזה והם פוטרו. שליש (34%) ממנהלי האבטחה טענו שתחום הגנת הסייבר עדיין מטופל כחלק מה-IT ולא כסיכון עסקי בארגון שלהם.

"הנהלות ארגונים שאינן בקיאות בתחום, ולכן אינן מעורבות בו, או שהן חסרות עניין בו, נוטות להימנע מהשקעות פרואקטיביות בסייבר – מה שמוביל בסופו של דבר להגדלת הסיכונים, ליותר אירועי סייבר הקורים בפועל, ובהתאמה – ליותר עלויות", נכתב בדו"ח.

לפי 80% ממנהיגי ה-IT, הדירקטוריון יקבל תמריץ לפעול בנחישות בנוגע לסיכון עסקי – רק אם יתרחש אירוע סייבר. הם העריכו, כי הפסד כספי של כ-200 אלף דולרים בממוצע – יניע את חברי ההנהלה לפעול בתחום.

לפי המחקר, "כאשר מנהלי האבטחה מצליחים לערוך התאמה בין הגנת הסייבר והאסטרטגיה העסקית, היתרונות ברורים: מחצית (46%) מהם אומרים שכאשר הם הצליחו למדוד את הערך העסקי של אסטרטגיית אבטחת הסייבר שלהם, הם נתפסו כבעלי אמינות רבה יותר". כך, במקרים שכאלה, מנהלי הגנת הסייבר קיבלו יותר תקציב (43%) ואחריות (45%). 41% מהם דיווח כי הם שותפו בדרג מקבלי ההחלטות הבכיר.

הדרך להמחשת הסיכונים הגלומים בסייבר, נכתב, "עוברת דרך הצגת מדדים עסקיים. 89% ממנהלי האבטחה שיישמו מדדים – כמו זמן זיהוי (של האיום או האירוע), מספר תקריות אבטחה, היקף ההדרכות למודעות סייבר ותביעות ביטוח סייבר – וכך הם הציגו את הערך של אסטרטגיות אבטחת סייבר. גישה זו משתלמת, כי היא מקושרת לשינוי אמיתי בעסק – ומנהלי האבטחה זוכים להיתפס כיותר אמינים ומקבלים יותר תקציב".

"אפליה" נוספת כנגד מנהלי האבטחה מגיעה משדות אחרים: מנהלי ה-IT דיווחו כי העסקים שלהם ישנמכו את סדר העדיפויות של אבטחת הסייבר לטובת שיפור מהירות הטרנספורמציה הדיגיטלית (35%), שיפור חווית העובדים (33%) ועבודה היברידית (31%).

"מנהלים אינם מבינים היטב את הסיכונים העומדים בפני הארגון שלהם, ולכן הם מתייחסים למנהלי האבטחה כמי שהם מציקים או שליליים מדי. לכן, אין זה מפתיע שאירוע סייבר שיכאב להם בכיס הוא הדרך היחידה שתגרום להם לפעול. לכן, על מנהלי האבטחה מוטלת המשימה להפריך את התפיסה הכוזבת, לפיה סייבר הוא מחסום ליצירת ערך", סיכמו מחברי המחקר.