Inteligentne technologie | Zarządzanie

Dyrektorzy ds. bezpieczeństwa informacji czują presję

8 lipca 2019

Zbyt wielu dyrektorów ds. bezpieczeństwa informacji znajduje się pod ciągłą presją, aby chronić swoje organizacje przed zagrożeniami cybernetycznymi. Jak wynika z nowego badania, są w tym zadaniu odosobnieni, co odbija się negatywnie na ich zdrowiu psychicznym. Badanie przeprowadzone przez firmę Nominet pokazuje, że dyrektorzy są tak sfrustrowani rosnącą odpowiedzialnością, że w obliczu ataku cybernetycznego byliby skłonni uciec się do radykalnych środków.

Firma przeprowadziła ankietę wśród 400 kierowników wyższego szczebla z dużych firm — zatrudniających średnio prawie 9 000 pracowników w Wielkiej Brytanii i Stanach Zjednoczonych. Jak się okazuje, w przypadku dyrektorów ds. bezpieczeństwa informacji, badanie pozwoliło odkryć pewne niepokojące tendencje. Po pierwsze, prawie 90 procent z nich pracuje więcej niż 40 godzin tygodniowo, a 27 proc. przyznało, że stres związany z pracą miał wpływ na ich zdrowie fizyczne lub psychiczne. Po drugie, 52 proc. nie uważa, że są postrzegani przez zarząd jako niezbędni — mimo że 76 proc. osób na równorzędnych stanowiskach jest tego zdania. Bardziej niepokojący jest jednak fakt, że jedna trzecia dyrektorów ds. bezpieczeństwa informacji natychmiast zwolniłaby każdego pracownika, który okazałby się odpowiedzialny za naruszenie bezpieczeństwa (tj. padłby ofiarą ataku phishingowego w wyniku swojego zaniedbania).

Frustracja ta zdaje się po części wynikać z poczucia niedostatecznej władzy, która pozwoliłaby im wziąć odpowiedzialność za ataki — 90 proc. ankietowanych przyznało, że doświadczyli braku co najmniej jednego zasobu niezbędnego do ochrony przed naruszeniami cybernetycznymi. Gdyby mogli otrzymać taki zasób z dnia na dzień, 59 proc. z nich wybrałoby „zaawansowane technologie”.

– Biorąc pod uwagę szybki rozwój nowych technologii niedługo obawy dyrektorów ds. bezpieczeństwa powinny odejść w niepamięć. Dzięki zaawansowanym systemom do monitorowania cyberprzestępczości będziemy w stanie z wyprzedzeniem przewidzieć, gdzie nastąpi atak i dzięki zastosowaniu odpowiednich środków zwalczymy go z poziomu firmy zarządzającej siecią – mówi Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe.

Kolejny problem stanowi brak zgody między kierownikami wyższego szczebla co do tego, kto powinien wziąć na siebie odpowiedzialność w przypadku naruszenia. Na pytanie o to, kto ostatecznie ponosi odpowiedzialność za bezpieczeństwo informacji, 35 proc. wskazało dyrektora generalnego, 32 proc. — dyrektora ds. bezpieczeństwa informacji, a tylko 3 proc. przyznało, że nie ma możliwości, aby jedna osoba w organizacji brała na siebie całą odpowiedzialność za cyberbezpieczeństwo.

– To nie jest zrównoważone podejście ani do przywództwa, ani do zarządzania zagrożeniami cybernetycznymi — podkreśla Russel Haworth, dyrektor generalny firmy Nominet. – Jeśli naprawdę chcemy zrobić dla naszych firm wszystko, co w naszej mocy, musimy połączyć siły. Kierownictwo wyższego szczebla musi się lepiej komunikować, edukować się nawzajem i dostrzegać swoje indywidualne ograniczenia – dodaje Haworth.

Badacze wyrażają nadzieję, że uda im się wywołać dyskusję i zachęcić kadry kierownicze wszystkich działów do oceny swoich indywidualnych mocnych i słabych stron, ustalenia zakresu odpowiedzialności, opracowania jaśniejszych linii dowodzenia oraz, przede wszystkim, traktowania bezpieczeństwa cybernetycznego jako wspólnego wysiłku.

źródło: Grupa FLPR