56% dintre respondenți consideră că organizațiile lor au ignorat procesele de securitate cibernetică pentru a putea implementa cerințele legate de telemuncă

Adoptarea noilor practici de muncă în contextul pandemiei a expus companiile la atacuri cibernetice tot mai numeroase și mai sofisticate și a adus în prim plan subfinanțarea mijloacelor de apărare cibernetică, potrivit raportului EY Global Information Security Survey 2021 (GISS), care a sondat opiniile a peste 1000 de lideri din domeniul securității cibernetice din cadrul companiilor din întreaga lume. Conform datelor raportului, peste jumătate dintre respondenți (56%) sunt de părere că organizațiile lor au ocolit procesele de securitate cibernetică pentru a facilita implementarea noilor cerințe legate de telemuncă și de un regim de muncă flexibil. În același timp, liderii în securitate cibernetică declară că nu au fost niciodată mai preocupați ca acum de capacitatea lor de a gestiona amenințările cibernetice (43%). Peste trei sferturi dintre aceștia (77% față de 59% conform ediției anterioare a GISS) avertizează în privința creșterii numărului de atacuri cibernetice cu impact puternic în ultimele 12 luni, cum ar fi cele de tip „ransomware”.

Bugetele pentru securitatea cibernetică nu sunt aliniate nevoilor

În pofida amenințării tot mai mari a atacurilor cibernetice, bugetele pentru securitatea cibernetică rămân la un nivel redus în raport cu cheltuielile totale cu tehnologia informației, potrivit ediției din acest an a GISS. Deși organizațiile respondenților au înregistrat venituri medii de 11 miliarde de dolari în ultimul exercițiu financiar, valoarea medie a cheltuielilor cu securitatea cibernetică a fost de doar 5,28 milioane de dolari.

Aproape patru din zece respondenți (38%) atrag atenția că bugetul organizației lor este sub nivelul necesar gestionării noilor provocări apărute în ultimele 12 luni. Același procentaj de respondenți declară că cheltuielile cu securitatea cibernetică nu sunt integrate corespunzător în costul investițiilor strategice, cum ar fi transformarea lanțului de aprovizionare IT. În același timp, mai bine de o treime (36%) spun că este doar o chestiune de timp până când organizația lor va suferi o breșă de securitate majoră care ar fi putut fi evitată, dacă ar fi existat investiții de un nivel adecvat în mijloacele de apărare cibernetică.

Relațiile strategice cu ceilalți lideri executivi pot transforma criza într-o oportunitate

Actuala ediție a raportului GISS relevă, totodată, că relațiile esențiale dintre liderii în securitate cibernetică și cei care dețin poziții importante în cadrul organizației sunt lipsite de deschidere și de forță. 41% dintre liderii în securitate cibernetică sondați au descris relația lor cu zona de marketing drept negativă, în timp ce 28% au menționat că relația cu proprietarii companiei lasă de dorit. Drept urmare, în timp ce 36% dintre respondenții din 2020 aveau convingerea că echipele de securitate cibernetică sunt consultate încă din faza de planificare a noilor inițiative comerciale, acest procentaj a scăzut la 19%, în 2021. Mai mult, doar 25% consideră că liderii de business ar descrie funcția de securitate cibernetică a organizației lor drept una comercială.

În contextul în care liderii de companii văd în tehnologie mijlocul prin care își pot realiza viziunea și transforma compania, aceștia nu își pot permite să întoarcă spatele riscurilor cibernetice care vin „la pachet” cu aceste demersuri. Misiunea directorilor de securitate cibernetică va fi să se asigure că liderii de companii vor înțelege valoarea adusă de investițiile în securitatea cibernetică și vor conștientiza faptul că acestea reprezintă o parte integrantă a procesului de transformare.

În România, investiții considerabile în domeniul IT, în ultimul deceniu

„Investițiile majore din ultimii 10 ani, care au avut loc în zona de IT din România, au dus la o uniformizare a practicilor și procedurilor de lucru pe zona securității cibernetice specifice celor din vestul Europei și SUA. Practica ultimelor luni a arătat că și în cazul companiilor din România investițiile în zona de apărare contra atacurilor informatice au crescut, chiar dacă per total nu ne aflăm la un nivel rezonabil de reziliență nici în mediul public și nici în cel privat. Soluțiile antivirus rămân în continuare cel mai utilizat mijloc de protecție, însă acest lucru s-a dovedit a fi insuficient dacă nu vine în completare cu alte soluții.

În plus, nu trebuie neglijată nici implementarea directivei NIS, transpusă în legislația din România prin Legea nr. 362/2018. Noi acte normative și regulamente adoptate în ultima perioadă conturează cadrul necesar implementării directivei NIS. Asemănător cu situația în care a fost implementată legislația GDPR, în viitorul apropiat vom asista la momentul în care și normativele care vin în completarea legii 362/2018 vor fi finalizate. Acesta va însemna o bornă importantă la care companiile din România ar trebui să se gândească întrucât nerespectarea acestei legislații poate atrage după sine sancțiuni importante. Astfel, cu cât măsurile în zona apărării împotriva atacurilor informatice vor fi luate mai din timp, cu atât companiile se vor pune la adăpost atât de eventuale riscuri generate de expunerea la amenințările cibernetice, dar și de eventuale sancțiuni legislative”, a declarat Cristian Zaharia, manager, Forensic Technnologies and Discovery Services la EY România.

(Copyright foto: 123RF Stock Photo)