Vidéo: La Belle au bois dormant - J'en ai rêvé I Disney (Novembre 2024)
En ce qui concerne la sécurité, les PDG n'ont aucune idée de ce qui se passe dans leurs organisations. Nous avons donc trouvé un rapport de l'Institut Ponemon publié cette semaine qui examinait comment les organisations se préparaient et réagissaient aux incidents de sécurité. Près de 80% des personnes interrogées ont déclaré ne pas "communiquer fréquemment" avec la direction générale au sujet des cyberattaques potentielles menaçant l'organisation. Cela va au-delà du PDG et englobe la totalité de la suite C (CIO, CSO, COO, CTO, etc.).
Il était étonnant que "les informations ne parviennent tout simplement pas au C-suite", a déclaré à Security Watch Mike Potts, président et PDG de Lancope. "Nous parlons de ce genre de choses tout le temps", a-t-il ajouté.
Les entreprises dépensent des millions de dollars en produits et services de sécurité et continuent à faire l'objet de violations, selon Lancope, qui a commandé l'étude. En fait, Gartner a déclaré que 67 milliards de dollars avaient été dépensés pour les produits de sécurité informatique dans le monde en 2013. Pourtant, 250 milliards de dollars de propriété intellectuelle sont volés aux entreprises chaque année. Où est la déconnexion?
Pas de mises à jour régulières
De nombreux cadres peuvent examiner toutes les dépenses de sécurité et se dire: "J'ai tout ce matériel, j'ai terminé", a déclaré Potts. S'ils ne reçoivent pas de mises à jour et d'informations régulières sur l'état de la sécurité globale de l'entreprise, il n'y a aucune raison de modifier ce point de vue. Mais ce n'est pas comme ça que ça devrait être. "Le scénario actuel n'est pas" préparé et oubliez ", a déclaré Potts.
Même si l'enquête ne demandait pas pourquoi le personnel informatique ne soulevait pas les problèmes liés à C-suite, Potts a suggéré que le problème puisse être lié à la manière dont la sécurité est mesurée au sein de l'organisation. La moitié des répondants ont déclaré ne disposer d'aucun paramètre permettant de mesurer l'efficacité de leurs capacités de réponse aux incidents. Cela signifie qu'ils sont incapables de traduire les menaces et les problèmes dans un langage que les cadres supérieurs - concernés par l'ensemble des activités - peuvent comprendre ou utiliser.
Il est également très probable que même si les discussions sur la sécurité avaient lieu, les dirigeants recevaient une version très "diluée" des problèmes, a déclaré Potts.
"Le moment est venu pour les cadres dirigeants et les décideurs informatiques de se réunir et d'élaborer des plans de réponse aux incidents plus solides et plus complets. Cette communication est essentielle si nous voulons réduire la fréquence stupéfiante des violations de données de grande envergure et des dommages causés aux entreprises. les pertes que nous constatons dans les médias presque tous les jours ", a déclaré Potts.
Les questions d'argent
Une partie du problème est un problème d'investissement. La moitié des répondants au sondage ont déclaré que moins de 10% de leur budget global de sécurité était destiné à la réponse aux incidents et, malgré le rythme croissant d'attaques et de menaces, la plupart ont déclaré qu'ils n'avaient pas augmenté cette allocation au cours des deux dernières années.
Ca a du sens. Si les cadres dirigeants ne se rendent pas compte des risques et des menaces, ils ne donneront pas la priorité au budget. Si les dirigeants savent que les pertes ou dommages potentiels vont être assez importants, ils peuvent agir en conséquence pour combler cet écart. Les dirigeants doivent "avoir les bonnes informations pour faire les bons investissements", a déclaré Potts.
Besoin de changer
Environ 68% des personnes interrogées ont déclaré que leurs entreprises avaient été victimes d'une violation de données ou d'un autre incident de sécurité au cours des deux dernières années. Près de la moitié des répondants (46%) ont déclaré qu'un autre incident était "imminent" et pourrait se produire dans les six prochains mois. C’est grave, et il est clair que le C-suite devrait être concerné et travailler avec les TI pour s’assurer que les mesures nécessaires sont prises, non?
Pas selon le sondage, car la majorité des 674 professionnels de l'informatique et de la sécurité qui ont participé au sondage ont affirmé qu'ils n'intensifiaient pas ces problèmes ni ne laissaient savoir aux cadres supérieurs ce qui les attendait. Vous vous demandez à quel point le chef de la direction de Target était au courant avant d’être placé sous les feux de la rampe et d’être invité à discuter de la violation, n’est-ce pas?
Potts espérait que la violation de données chez Target et d'autres détaillants agirait comme un avertissement pour les autres. Peut-être que Target changera la façon dont les organisations communiquent et "facilitera la tâche au C-suite de ses problèmes de sécurité", a déclaré Potts.
Cliquez pour voir l'image complète
