فقط مدیران امنیتی به مدیر عامل گزارش میدهند
بر اساس یک گزارش امنیتی از طرف ISACA و RSA با نام “وضعیت امنیت سایبری: عواقب در 2016 (State of Cybersecurity: Implications for 2016)، از کارشناسان امنیت اطلاعات حس میکنند که هیئت مدیره آنان در مورد امنیت سایبری نگران یا خیلی نگران هستند، اما این نگرانی در جلسات هیئت مدیره انعکاس پیدا نمیکند. این گزارش نیز بیان داشت که با اینکه امنیت اینترنتی نگرانی بزرگی است، از هر 7 مدیر امنیتی فقط 1 نفر مستقیمآ موارد را به مدیر عامل گزارش میدهد.
در گزارش آمده است که مدیران سطوح پایین بیشتر وبیشتر متوجه اهمیت امنیت سایبری هستند اما فرصت های بهبود باز هم وجود دارد. اکثر مسئولین امنیت اطلاعات (CISO) به مدیر امنیت اطلاعات (CIO) گزارش میدهند که نشان میدهد که امنیت سایبری به عنوان یک مسئله فنی تلقی میگردد نه مسئله مرتبط به کسب وکار. این گزارش اختلاف های ارائه فرصت ها برای رشد جامعه امنیت اطلاعات (Infosec) در آینده را گوشزد میکند.
با اینکه امنیت اطلاعات یک الویت برای هیئت مدیره نمیباشد، اکثر کارشناسان صنایع در حال آماده سازی برای بدترین سناریو ممکن میباشند. از شرکت کنندگان انتظار حمله سایبری در سال 2016 را داشتند. به گزارش رسانه Business Wire گفته اند که آنها هر روز حملات فیشینگ را تجربه کرده اند.
در سال گذشته یک افت 12 امتیازی در اعتماد به نفس کارشناسان امنیتی در توان تیم خود برای شناسایی و جوابگویی به یک واقعه دیده شد. این مسئله انعکاسی از “ناآگاهی از وضعیت” در صنعت بر اساس گزارش بالا است. برای مثال از کارشناسان که گزارش کردند که امنیت سایبری تنها مسئولیت آنان است، بیان داشتند که نمیدانستند که آیا در سال 2015 از گواهی های امنیتی (security credentials) سازمان آنان به سرقت رفته است یا خیر. نمیدانستد که آیا سازمان آنها با تهدیدهای پیشرفته مستمر (advanced persistent threat) مواجه شده بوده یا خیر. آگاه نبودند که آیا سرمایه های سازمانی برای استفاده botnet ها به کار گرفته شده بود یا خیر.
نتیجه گیری از این گزارش میتواند این باشد که ما نیاز به آموزش در حوزه امنیت سایبری داریم، با اینکه شواهدی برای رشد این مسئله وجود دارد. از کارشناسان گفتند که آنها انتظار داشتند که بودجه امنیت سایبری در 2016 افزایش یابد. بیان داشتند که استراتژی های امنیت سازمانی آنها با اهداف سازمانی همگام بود.
