Опрос: большинство директоров по информационной безопасности считают, что их бизнес подвержен риску кибератак
16 мая 2023 г.Согласно новому опросу 1600 директоров по информационной безопасности со всего мира, проведенному компанией Proofpoint, занимающейся кибербезопасностью, 68% респондентов считают, что их организация может подвергнуться атаке в ближайшие 12 месяцев, причем 25% из них оценивают этот риск как весьма вероятный. . Годом ранее только 48% полагали, что кибератака поразит их в течение следующего года.
С географической точки зрения наиболее обеспокоенные директора по информационной безопасности находятся в Великобритании (84%), Германии (83%) и Сингапуре (80%), а в США — 73%. Что касается бизнес-вертикалей, то больше всего кибератаки беспокоят директора по информационной безопасности в розничной торговле (77%), производстве (76%) и финансах (71%).
Перейти к:
- Основные угрозы кибербезопасности по рейтингу директоров по информационной безопасности
Осведомленность против готовности
Приоритеты директоров по информационной безопасности на ближайшие два года
Положительные отношения директоров по информационной безопасности со своими советами директоров
Стрессовая работа с высоким уровнем выгорания
Директор по информационной безопасности и взаимодействие с правлением для обеспечения кибербезопасности
Основные угрозы кибербезопасности по рейтингу директоров по информационной безопасности
Директора по информационной безопасности считают компрометацию корпоративной электронной почты самой большой угрозой для своих организаций (33%) на следующие 12 месяцев (рис. A). По данным Центра жалоб на интернет-преступления ФБР, в 2021 году этот вид мошенничества привел к скорректированным убыткам в размере около 2,4 миллиарда долларов.
Рисунок А
Инсайдерская угроза, которая считалась самым большим риском для директоров по информационной безопасности в прошлом году, появляется сразу после угрозы BEC (30%). Эти внутренние угрозы могут быть небрежными, случайными или преступными.
Компрометация облачной учетной записи и распределенные атаки типа «отказ в обслуживании» являются серьезной проблемой для 29% директоров по информационной безопасности.
Атаки на цепочку поставок происходят с той же частотой (27 %), что и атаки программ-вымогателей, а также атаки smishing и vishing. Атаки на цепочки поставок стали масштабнее и сложнее, а защита этих непрозрачных сетей стала сложнее, чем когда-либо. Тем не менее, 64% директоров по информационной безопасности считают, что они достаточно вооружены, чтобы снизить риск цепочки поставок.
ПОСМОТРЕТЬ: Используйте этот комплект для найма специалистов по анализу безопасности от TechRepublic Premium, чтобы найти кого-то, кто поможет контролировать состояние безопасности вашего бизнеса.
Когда дело доходит до угрозы программ-вымогателей, директора по информационной безопасности все чаще готовы платить выкупы киберпреступникам (62%) за восстановление систем или предотвращение разглашения данных. Эта статистика неудивительна, поскольку Всемирный экономический форум сообщил в 2022 году, что 71% организаций застрахованы от киберугроз, а 61% директоров по информационной безопасности заявили, что они будут предъявлять претензии по полисам страхования от киберугроз для возмещения понесенных убытков.
Тем не менее, большинство директоров по информационной безопасности (62%) считают, что их организация способна обнаружить и удалить действующую программу-вымогателя, использующую украденные или скомпрометированные учетные данные, до того, как будет нанесен какой-либо материальный ущерб. Согласно Proofpoint, эта уверенность, вероятно, неуместна, поскольку технологии обнаружения конечных точек и реагирования не предупреждают клиентов об использовании скомпрометированных учетных данных.
Что касается киберуязвимостей, то 60 % опрошенных директоров по информационной безопасности считают человеческий фактор самым большим риском, что согласуется с исследованиями, проведенными за два предыдущих года.
61% директоров по информационной безопасности считают, что их сотрудники понимают свою роль в защите организации от киберугроз, с чем полностью согласны 25%. Эти цифры не изменились за последние два года, что свидетельствует о «небольшом прогрессе в создании культуры осведомленности о безопасности», согласно Proofpoint.
Осведомленность против готовности
Компания Proofpoint отметила тревожный разрыв между осведомленностью о потенциальных кибератаках и их готовностью, поскольку 61% директоров по информационной безопасности согласны с тем, что их организация не готова противостоять целенаправленной кибератаке.
Опрос членов правления Proofpoint, проведенный в прошлом году, показал, что только 47% из них считают, что они не готовы к целенаправленным кибератакам. Proofpoint считает, что директора по информационной безопасности «лучше понимают состояние безопасности и ландшафт угроз», а оптимизм на уровне совета директоров, вероятно, основан на неполной картине текущей ситуации.
Приоритеты директоров по информационной безопасности на ближайшие два года
Практически не изменившись по сравнению с прошлым годом, приоритеты директоров по информационной безопасности на следующие два года сосредоточены на инновациях, таких как DevSecOps или разработка продуктов (39%), консолидация (37%) и передача элементов управления безопасностью на аутсорсинг центрам управления безопасностью, поставщикам управляемых услуг безопасности и т. д. ( 35%) (рис. Б).
Рисунок Б
Глобальный экономический спад влияет на эти приоритеты CISO. Многие организации сокращают бюджеты на кибербезопасность, оставляя своих директоров по информационной безопасности с теми же целями. Более половины директоров по информационной безопасности (58%) отметили, что недавние экономические события негативно повлияли на их бюджет на кибербезопасность, при этом больше всего пострадали государственный сектор и ИТ.
Положительные отношения директоров по информационной безопасности со своими советами директоров
С ростом влияния роли директора по информационной безопасности взаимодействие на уровне совета директоров становится более частым. Шестьдесят два процента директоров по информационной безопасности согласны с тем, что их совет директоров согласен с ними по вопросам кибербезопасности.
Что касается потери данных, директора по информационной безопасности считают, что их советы больше всего беспокоятся о репутационном ущербе (36%), влиянии на оценку бизнеса (36%) и потере текущих клиентов (36%), в то время как в реальности последствиями в реальном мире являются простои в работе и восстановление данных. (38%), финансовые потери (33%) и санкции регулирующих органов (33%). Однако многие из этих опасений взаимосвязаны, поскольку простои в работе могут привести к ущербу для репутации, потере клиентов и обесцениванию бизнеса.
Шестьдесят два процента директоров по информационной безопасности считают, что опыт работы в области кибербезопасности должен быть требованием на уровне совета директоров. Эта точка зрения интересна, если учесть, что Комиссия по ценным бумагам и биржам США предложила обязать публично торгуемые компании раскрывать информацию о том, обладает ли член совета директоров знаниями в области кибербезопасности.
Стрессовая работа с высоким уровнем выгорания
Удаленная и гибридная работа, внезапно появившаяся в компаниях, привела к усилению давления, и 61% директоров по информационной безопасности согласны с тем, что теперь они сталкиваются с завышенными ожиданиями. Это число выросло с 49% в 2022 году до 57% в 2021 году.
Это давление еще больше ощущается, поскольку бюджеты на кибербезопасность сокращаются из-за глобального экономического спада для многих компаний.
Вопрос личной ответственности также беспокоит 62% директоров по информационной безопасности. Шестьдесят один процент из них говорят, что не присоединятся к организации, которая не предлагает страховку директоров и должностных лиц или что-то подобное для их защиты.
Неудивительно, что в этих условиях 60% опрошенных директоров по информационной безопасности говорят, что испытали эмоциональное выгорание за последние 12 месяцев.
Директор по информационной безопасности и взаимодействие с правлением для обеспечения кибербезопасности
Последние несколько лет были особенно трудными, за ними последовал долгий переходный период, прежде чем вернуться к новой нормальности. Многим организациям приходится справляться с этой новой нормой, сокращая бюджеты на кибербезопасность из-за глобального экономического спада.
С другой стороны, директора по информационной безопасности стали более заметными благодаря своим советам директоров, и общение между этими группами стало более гибким. Без сомнения, такое расширение отношений между директорами по информационной безопасности и членами их правления пойдет на пользу кибербезопасности.
Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.
Оригинал