Organizasyonların% 93’ü, CISOS için artan kişisel sorumluluk konusundaki endişeleri gidermek için önceki 12 ay boyunca politika değişiklikleri yaptı. Bu, yönetim kurulu düzeyinde stratejik kararlara CISO katılımını artıran beş kuruluştan ikisini (%41) içerir.
Spot ışığı altında ciso sorumluluğu
2023’ün sonlarında, siber güvenlik riski yönetimi, stratejisi, yönetişim ve kamu şirketleri tarafından olay ifşası ile ilgili yeni kabul edilen düzenlemeler ve diğer başlıklar, veri ihlalleri için kurumsal hesap verebilirliğe daha fazla odaklanarak CISO sorumluluğu endişesinin artması.
Bu riski azaltmak için, katılımcıların% 38’i “denetleyici kurumlardan güvenlik açıklama belgelerinin arttırılmasının” vaat ederken,% 38’i sorumluluk sigortası da dahil olmak üzere siber güvenlik personeli için yasal desteği geliştirdi ve şirketler geçtiğimiz yıl güvenliğe daha fazla kaynak tahsis etti.
“Şirketlerin büyük çoğunluğunun, CISO hesap verebilirliğini yasal korumaya yatırım yapmak önemli bir adımdır, ancak bu değişiklik daha iyi güvenlik uygulamalarını yönlendirmek için yasal riskten korunmakla ilgili olarak, dünya çapında başka bir kesinti göz önüne alındığında.
“Uygun hesap verebilirlik, sorumluluk sigortası ve açıklama düzenlemelerinin ötesine geçmeyi gerektirir.
Kuruluşlar siber güvenlik olaylarıyla mücadele ediyor
Araştırmalar ayrıca, kuruluşların% 46’sının siber güvenlik olayları için nihai sorumluluğa sahip olduğu konusunda belirsiz olduğunu, sadece% 36’sının ekiplerinde açıkça rol ve sorumlulukları tanımladığını bulmuştur.
“CISO’lar her karar konusunda son çağrı yapmıyor, bir kurulun sorması gereken soru, ‘CISO’nun bize ilettiği riskleri ele almak için bütçeyi hizalıyor muyuz?’ Hesap verebilirliğin başlaması gereken yerdir – üst düzey liderlik düzeyinde, net iletişim ve kaynakların hizalanmasıyla ”dedi Erwin.
Bu sorumluluk sadece bir kişiye düşmez, siber güvenlik risklerinin nasıl ve neden hafifletilmesi gerektiğini ve maruz kalmayı azaltmak için çabaların nasıl hizalanması gerektiğini anlamak için kuruluşun her seviyesinde net bir iletişim gerektirir.
Siber iyileşme beklenenden daha uzun sürer
Organizasyonlar siber olaylardan düşündükleri kadar iyileşme konusunda iyi değildir. Ortalama olarak, iyileşmenin 5.85 ay sürmesini bekliyorlar. Uygulamada, 7.34 ayda yaklaşık% 25 daha uzun sürer. Siber güvenlik yatırımı düştükçe iyileşme süreleri artar. Önümüzdeki yıl daha az harcamayı planlayan şirketler, iyileşmenin 8 aydan fazla sürmesini bekliyor.
Neredeyse hiçbir şirket siber olaylardan dokunulmaz. Ortalama olarak, geçen yıl yaklaşık 40 bilinen siber olay yaşadılar ve ondan az birinden daha azı hiç yaşamadılar. ABD kuruluşları en çok gördü – haftada ortalama bir olay. Daha büyük organizasyonlar daha da kötüleşti, yılda ortalama 64 olay, yüksek saldırı yüzeylerini yansıttı.
Pek çok tehdit basit hatalardan kaynaklanıyor. Yanlış yapılandırılmış BT varlıkları, katılımcıların% 25’inde sorunlara neden olmuştur. Diğer sorunlar arasında yazılım hataları (%33) bulunmaktadır. Bununla birlikte, yamalar ve diğer BT onları durdurmak için değişir, genellikle yeterince hızlı gelmez ve şirketlerin% 18’inde güvenlik sorunlarına neden olur.
Beceriler, siber güvenlikte büyük bir engeldir, katılımcıların% 30’u modern güvenlik tehditlerine bir zorluk olarak karşı koymak için beceri eksikliğine atıfta bulunur. % 47’si yeni işe alımlar ve ücret artışları ile siber güvenlik yeteneklerine yeterince yatırım yapmadı. Eğitim ve yetenek edinimi, önümüzdeki yıl%28 ile en önemli önceliktir.