RiskOptics’e göre, InfoSec ve GRC’de çalışanlar siber/BT risk yönetim sistemlerine yüksek düzeyde güven duysa da, kalıcı sorunlar onları sanıldığından daha az etkili yapıyor olabilir.
Etkili bir siber/BT risk yönetimi programı uygularken karşılaşılan en büyük zorluklar arasında siber tehditlerin miktarında (%49) ve ciddiyetinde (%49) artış, finansman eksikliği (%37) ve personel/siber risk yeteneği eksikliği yer alıyor. (%36).
Ortak siber risk terminolojisi
Rapor ayrıca, yaygın siber risk terminolojisindeki genel yanlış anlamaların, etkili stratejiler geliştirmede ve riski şirket liderliğine iletmede caydırıcı olabileceğini de ortaya koydu.
Bir IBM raporuna göre, siber saldırılar birkaç yıldır artıyor ve bunun sonucunda ortaya çıkan veri ihlalleri, işletmelere 2022’de ortalama 4,35 milyon dolara mal oldu. Siber saldırıların mali ve itibarla ilgili sonuçları göz önüne alındığında, kurumsal yönetim kurulları siber/BT riskini belirlemesi ve azaltması için CISO’lara baskı yapıyor.
Yine de, risk yönetimine yapılan yeni vurguya rağmen, iş dünyası liderleri siber riskin farklı iş girişimlerini nasıl etkileyebileceği veya stratejik bir varlık ve temel iş farklılaştırıcısı olarak kullanılabileceği konusunda hâlâ kesin bir kavrayışa sahip değiller.
Şirketlerin karşı karşıya olduğu mevcut siber güvenlik ve BT risk zorluklarının yanı sıra yöneticilerin riskle mücadele etmek için attığı adımları daha iyi anlamak için RiskOptics, 261 ABD InfoSec ve GRC lideriyle bir anket düzenledi. Katılımcılar, yöneticiden C-Suite’e kadar farklı iş seviyelerine sahipti ve çeşitli sektörlerde çalıştı.
Siber/risk yönetimi programları zorlukları
Direktörler (%59) ve müdürler (%51) siber saldırıların sayısındaki artışın en büyük zorluk olduğunu söylüyor. Alternatif olarak, SVP’ler en büyük zorluklarının liderliğin siber/BT risklerini anlama eksikliği olduğunu söylerken (%52), C-Suite katılımcıları en büyük zorlukların finansman eksikliği (%42) ve liderlik devir hızının (%40) olduğunu belirtiyor.
Yanıt verenlerin yarısından fazlası, bir siber/BT risk değerlendirmesini tamamlamanın, sağlık sigortasına kaydolmaktan (%54) veya RMV/DMV’de lisansınızı yenilemekten (%55) daha zor olduğunu düşünüyor; bunların her ikisi de kötü şöhrete sahip. sıkıcı ve zaman alıcı.
Siber güvenlikte iletişim açığı
InfoSec veya GRC’de çalışan tüm katılımcılara rağmen, birçoğu riski, tehditleri ve güvenlik açıklarını farklı tanımlayarak, nelere bakılacağı ile sistemleri korumak için etkili stratejilerin nasıl geliştirileceği arasındaki büyük iletişim tutarsızlıklarına işaret ediyor. Uzmanlar bu konuları anlamıyorsa, şirket liderliğiyle iletişim kurmada ne kadar etkililer?
Ankete katılanların %23’ü üçüncü taraf sağlayıcıları risk açısından değerlendirmiyor. Üçüncü taraf riskinin değerlendirilmemesi, bir kuruluşu tedarik zinciri saldırılarına, veri ihlallerine ve itibar hasarına maruz bırakır. Daha da endişe verici olan şey, bunun daha çok, büyük tedarikçi ve ortak ekosistemlerine sahip, yüksek oranda düzenlenmiş endüstrilerde meydana gelmesidir; Üretimde çalışan katılımcıların %30’u ve sağlık sektöründe çalışanların %25’i şirketlerinin üçüncü taraf satıcı riskini değerlendirmediğini söylüyor.
Kuruluşlar mevcut süreçlerini ve sistemlerini yeniden değerlendirmeli
CIO ve CISO yanıtlayanların %30’u, belirli iş girişimleriyle ilgili riskleri diğer şirket liderlerine iletmediklerini söyleyerek, bu bilgileri yapıcı bir şekilde nasıl paylaşacaklarını bilemeyebileceklerini belirtiyor.
Sağlık ve imalat sektörlerinin oyunlarını hızlandırması gerekiyor. Tüm sektörler arasında, üretime yanıt verenler, riski belirli iş girişimleri etrafında iletmediklerini söyleyen en yüksek yüzdeydi (%36). Bu arada, sağlık hizmetlerine yanıt verenlerin %20’si, risk yönetimi yazılımlarını riski azaltmada biraz etkili veya daha az etkili olarak değerlendiriyor (ki bu, diğer tüm sektörlerden daha fazla).
Sağlık sektöründen yanıt verenlerin, kuruluşlarındaki liderlerin siber/BT riskini stratejik planlamaya bağladıkları konusunda daha düşük düzeyde güven ifade etme olasılıkları daha yüksekti ve neredeyse üçte biri (%29) bir şekilde veya daha az emin hissettiklerini söylüyor.
“İş inisiyatifleri etrafında stratejik karar verme söz konusu olduğunda, siber risk ve BT riski, yalnızca bir kuruluşu daha iyi korumakla kalmayan, aynı zamanda büyümeyi de destekleyen paha biçilmez bir araç olabilir. RiskOptics CEO’su ve CPO’su Michael Maggio, “Ancak, siber riski kendi avantajlarına kullanabilmek için şirket yönetim kurullarının önce bunu anlaması gerekiyor” dedi.
“Raporumuz, ekiplerin riski iletirken ve iş yüklerini daha verimli bir şekilde yönetirken aşmaları gereken büyük engeller olduğunu gösteriyor. Kuruluşlar mevcut süreçlerini ve sistemlerini yeniden değerlendirmeli, otomasyonu benimsemeli ve iş bağlamında risk almalıdır. Ancak o zaman yöneticiler riskin proaktif olarak yönetildiğinde sağlayabileceği fırsatı görebilirler: stratejik bir avantaj,” diye tamamladı Maggio.