ממצאי מחקר עדכני אשר הקיף כ-1500 אנשי אבטחת מידע ו-IT, מעלים כי קיים פער ניכר בין ההכרה בסיכוני האבטחה הקיימים לבין יישום בפועל של ההגנות על המידע הארגוני הרגיש...
חברות וארגונים ממשיכים להתקשות בהגדרת סדרי עדיפויות וביישום מערכי ותהליכי הגנה על מידע ארגוני/עסקי רגיש, וזאת למרות העובדה שיותר מ-70% מן המשיבים לסקר סבלו מדליפת מידע בשנה האחרונה; זאת על פי סקר עדכני של Ponemon Institute LLC מחודש יוני 2014.
למרות דליפות המידע הרבות שאירעו לאחרונה, ובכלל זה הפריצה הגדולה אל Target אשר במהלכה גנבו הפורצים כ-40 מיליון מספרי ופרטי כרטיסי אשראי של לקוחות החברה - פריצות אשר המחישו היטב עד כמה פריצות ודליפות מידע עלולות להיות הרסניות עבור חברות וארגונים - הרי שהסקר מראה כי מרבית החברות והארגונים לא מיהרו לאמץ ולהטמיע אמצעי אבטחה, גם כאשר הסיכונים היו ברורים להם לחלוטין.
רק כמחצית מן המשיבים ענו כי הגדירו את נושא אבטחת המידע העסקי הרגיש בעדיפות גבוהה לטיפול.
הפער בין תפיסת הסיכון לבין היישום המתבקש הינו מפתיע, במיוחד בהתחשב בכך שכ-60% מן המשיבים אמרו כי אפשר היה למנוע את דליפת המידע אשר אירעה בחברתם, וכ-80% מבינים כי חברתם נמצאת בסיכון גבוה מכיוון שהם אינם יודעים כלל היכן נמצא/מאוחסן המידע הרגיש של חברתם עליו יש להגן במיוחד. כ-60% מן המשיבים טענו כי עובדה זו לכשעצמה מדירה שינה מעיניהם.
המשמעות היא פשוטה: מרבית משתתפי הסקר מכירים בכך כי סיכונים עסקיים משמעותיים נשקפים לארגון שלהם כתוצאה מן העובדה שנכסי המידע הארגוניים אינם מאובטחים כראוי; אולם למרות הבנה זו, ציינו משיבים רבים כי אין ביכולתם להתמודד עם סיכונים אלו, וזאת בשל מחסור במשאבים להתמודדות עם הסיכונים - הן טכנולוגיים והן אנושיים.
זאת ועוד, משתתפי הסקר התייחסו לבעיה הכאובה של מחסור במשאבים ובאנשי מקצוע איכותיים - כמעט 60% היו שמחים לעבוד עם אנשי צוות מקצועיים יותר.
ממסקנות הסקר עולה כי מומלץ לגבש גישה ממוקדת מידע לאבטחה, אשר תיצור מסגרת פעילות הוליסטית (holistic framework) אשר תסייע לחברות ולארגונים להתמודד עם משמעויות האבטחה הנגזרות מן הגידול בכמויות המידע אשר ברשותם.
השלב הראשון והקריטי הינו לאתר ולמפות את מיקום נכסי המידע הארגוניים הקריטיים ולבסס את הבקרות הקיימות בכדי לאבטח נכסי מידע אלו; לאחר מכן, יש לבסס תהליכים ארגוניים מתועדפים על פי רמות הסיכון אשר משקפות פגיעות פוטנציאליות בנכסים עסקיים אלו. בהתאם, יש לקבוע בהמשך מדיניות ברורה ונהלים ספציפיים הנגזרים ממשמעויות הפגיעה הפוטנציאלית, מהשלכותיה על הארגון ומאמצעי ותהליכי ההגנה שיש לנקוט בכדי להתגונן מפגיעה בנכסים הארגוניים הקריטיים שאותרו והוגדרו.
בהמשך, יש ליישם את המדיניות, הנהלים והבקרות שנקבעו, ואז (במרבית המקרים) להשקיע בטכנולוגיות - פתרונות ומוצרים ספציפיים אשר יגבירו ויגדילו את הנראות (Visibility) של אבטחת המידע הקריטי לכל אורך חיי המידע (יצירה, איסוף, שימוש, שיתוף, אחסון וחוזר חלילה).
בשורה התחתונה, מסקנת המחקר היא כי במידה וחברות לא יסגרו את הפער בין הצורך להגן על המידע לבין הגנה על המידע בפועל, במיוחד הגנה על נכסי מידע עסקיים קריטיים - ההשלכות עלולות להיות כואבות ויקרות.
איי פי וי סקיוריטי ביצעה בשנים האחרונות מאות ביקורות וסקרי סיכונים אשר כללו שילוב של ניתוח תהליכים קריטיים, איתור ומיפוי נכסים עסקיים ומבדקי אבטחה טכנולוגיים בספקטרום רחב (במקרים מסויימים עד כ-20 סוגי מבדקים שונים). ממצאי הסקר ומסקנותיו תואמים את המוכר לנו מן השטח; פעולה פרו-אקטיבית היא הדרך המומלצת בכדי לסגור את הפער העולה מן הסקר - בין הידוע לקיים.
לידיעה המלאה - כאן
לידיעה המורחבת - כאן