EY ABD’den gelen yeni araştırmalar, siber saldırıların ciddi finansal riskler yarattığını gösteriyor. C-Suite liderleri, şirketlerinin ne kadar maruz kaldıkları veya en büyük tehditlerin nereden geldiği konusunda her zaman anlaşmazlar.
Cisos siber güvenlik konusunda daha fazla endişe duyuyor (Kaynak: EY ABD)
Stratejik bir yatırım olarak siber güvenlik
EY US’ın en son C-Suite siber güvenlik çalışmasında, yöneticilerin% 84’ü şirketlerinin son üç yılda siber bir olayla karşılaştığını söyledi. Russell 3000 şirketinin bir başka EY ABD incelemesi, bir siber saldırıdan sonra bir şirketin hisse senedi fiyatının önümüzdeki 90 gün içinde ortalama% 1,5 düştüğünü buldu. Bu, bu saldırıların bir şirketin değerine ne kadar zarar verebileceğini gösterir.
EY 800 ABD yöneticisine siber güvenlik hakkında sordu. Buna 300 CISO ve diğer 500 C-suite lideri de dahil. Anket, ne kadar şirketin harcadığına, hangi yeni tehditleri gördüklerine ve ne kadar hazırlıklı hissettiklerine baktı. CISO’ların diğer yöneticilerden daha endişeli olduğunu buldu. CISOS’un% 66’sı karşılaştıkları tehditlerin savunmalarından daha gelişmiş olduğunu söyledi. Diğer C-suite liderlerinin sadece% 56’sı aynı şeyi hissetti.
EY Amerika Siber Güvenlik Lideri II, “Şirketlerin ‘kutuyu kontrol edin’ zihniyetinin ötesine geçmesi ve siber güvenliği sadece bir maliyet merkezi olarak değil, stratejik bir yatırım olarak tanıması gerekiyor” dedi. “Boğayı boynuzlardan almanın ve sadece kaynakları değil, siber liderlerin gerçekten esnek organizasyonlar inşa etme yetkisi için de itme zamanı. Hareketsizlik maliyeti çok yüksek.”
CISOS ve diğer C-suite liderleri arasındaki boşluklar şirketleri riske atıyor olabilir
CISO’ların kıdemli liderlerin siber tehditlerin ne kadar ciddi olduğunu tam olarak anlamadıklarını düşünme olasılığı daha yüksektir. Cisos’un yaklaşık% 68’i üst düzey yöneticilerin tehlikeyi hafife aldığını söyledi. Diğer C-suite liderlerinin sadece% 57’si kabul etti.
İki grup aynı zamanda geçmiş siber olayların arkasında kimin olduğu konusunda aynı fikirde değil. Daha fazla Cisos (% 57), diğer yöneticilerin% 47’sine kıyasla siber suçluların sorumlu olduğunu söyledi. CISOS’un içeriden gelen tehditlere işaret etme olasılığı daha yüksekti-% 47’si bir çalışanın neden olduğu bir olay yaşadıklarını söylerken, C-suite geri kalanının sadece% 31’i aynı şeyi söyledi. Bu farklılıklar gelecekteki saldırılara hazırlanmayı zorlaştırabilir.
Cisos ve diğer yöneticiler de yatırımların etkisini farklı görüyor. Dört cisostan üçü AI’nın siber olayların azaltılmasına yardımcı olduğunu söyledi. Daha az güvenlik dışı yönetici aynı şeyi söyledi. Bu arada, güvenlik dışı yöneticilerin% 77’si, CISOS’un% 69’una kıyasla, olaylardaki düşüş için eğitim çalışanlarını kredilendirdi.
Eylem Çağrısı
Guinn, “Cisos artan tehditleri ve güvenlik açıklarını görüyor, C-suite genellikle siber güvenliğin ele alındığına inanıyor gibi görünüyor” dedi. “Siber güvenlik olayları, derhal toparlanma maliyetlerinin ötesinde önemli ve geniş kapsamlı finansal yankıları taşıyor. Araştırmamız, liderlerin bir araya gelmesi ve gelişen tehdit ortamını ele alan kapsamlı bir siber güvenlik stratejisi geliştirmeleri ve yatırım için risk ve fırsatlar ve öncelik alanlarının ortak bir anlayışını geliştirmeleri için acil ihtiyacını güçlendiriyor.”
Anahtar bağlantılarının ortaya koyduğu risklere rağmen, yatırımlar arttıkça gümüş bir astar var. C-suite liderlerinin% 21’i kuruluşlarının şu anda BT bütçelerinin% 10’undan fazlasını (siber güvenliğin altına düştüğü) siber güvenlikte yatırım yaptığını söylerken, bu sayının gelecek yıl kabaca% 38’e çıkması bekleniyor.
Artan siber riskler ve çalkantılı ekonomik koşullar arasında bu ek sermayeyi daha iyi en üst düzeye çıkarmak için Guinn ve EY ABD Siber Güvenlik Ekibi aşağıdakileri önerir:
- CISO rolünü yükseltin: Stratejik güvenlik girişimlerini yürütme ve kritik iş kararlarını etkileme yetkisi ile CISO’yu kuruluşun güvenlik duruşuna sahip bir pozisyon olarak belirleyin.
- Stratejik yatırım: Siber güvenlik yatırımlarını kuruluşun genel iş hedefleri ve risk toleransı ile uyumlu hale getirerek kaynakların en kritik tehditleri ele almak için etkili bir şekilde tahsis edilmesini sağlayın.
- Yeniliği kucakla: Tehdit algılama ve yanıt yeteneklerini geliştirmek için yapay zeka ve makine öğrenimi de dahil olmak üzere siber güvenlik için yeni teknolojileri ve yaklaşımları gözden geçirmeye ve benimsemeye devam edin.
- Bir siber güven kültürü geliştirin: Tüm kuruluştaki her düzeyde siber güvenlik farkındalığı ve sorumluluk kültürünü teşvik ederek, çalışanları potansiyel tehditleri belirlemeye ve raporlamaya güç verdi.