Badanie EY: ponad 40% osób odpowiedzialnych za bezpieczeństwo informacji w firmach, jak nigdy dotąd niepokoi się o zdolność organizacji do odpierania cyberzagrożeń

Ankietowani w ramach Ogólnoświatowego Badania Bezpieczeństwa Informacji EY (GISS – Global Information Security Survey) zwracają również uwagę, że pandemia ujawniła luki w szeroko rozumianym ekosystemie, obejmującym łańcuch zależności firm, a tylko jeden na trzech CISO jest przekonany, że cały łańcuch dostaw w ich organizacji jest pod tym względem zabezpieczony i odporny. 

- Skupienie na słabych punktach w ekosystemie partnerskim organizacji, to jeden z oczywistych postpandemicznych priorytetów dla osób odpowiadających za bezpieczeństwo w firmach. Choć wcześniej ten problem był mniej dostrzegany, podczas pandemii został uwidoczniony, uświadamiając tym samym wielu organizacjom, jak poważne zagrożenia może nieść za sobą złe zabezpieczenie tak zwanych stron trzecich, dostarczających usługi, produkty czy rozwiązania. Relacje z podmiotami trzecimi zwiększają bowiem liczbę punktów, poprzez które organizacja może być potencjalnie zaatakowana. Dlatego tak ważne jest, by podlegały one stałemu monitoringowi pod kątem zagrożeń– mówi Kazimierz Klonecki, Partner EY i Lider Działu Cyberbezpieczeństwa.

To nie koniec wyzwań, na które wskazali w tym roku ankietowani w badaniu EY. Blisko 40% CISO zwróciło uwagę na to, że nie dysponuje budżetem odpowiednim do wyzwań, które pojawiły się w ich firmach w ostatnich 12 miesiącach. Wydatki na cyberbezpieczeństwo stanowiły w ostatnim roku finansowym średnio zaledwie 0.05% przychodów badanych firm. Co więcej, 36% ankietowanych jest zdania, że kwestią czasu jest to, że ich organizacje doświadczą znaczącego incydentu z zakresu cyberbezpieczeństwa, którego można by uniknąć, dzięki odpowiednim inwestycjom. 

- Z badania EY wynika, że większość kosztów związanych z cyberbezpieczeństwem w firmach, alokowana jest w szeroko rozumianych budżetach IT lub w wydatkach na technologię. To z jednej strony utrudnia właściwe i elastyczne zarządzanie takim budżetem, a z drugiej pokazuje, jak rozumiane i postrzegane są funkcje CISO w organizacjach. Co więcej - w części organizacji niewystarczająca wysokość budżetów w rękach menedżerów zajmujących się cyberbezpieczeństwem, powoduje konieczność dopasowania stosowanych rozwiązań i presję na  zmniejszanie kosztów w pełnym zagrożeń środowisku. Tym samym CISO stale walczą o to, by wypełnić lukę między potrzebami a możliwościami finansowania – mówi Jakub Walarus, Associate Partner EY w Dziale Cyberbezpieczeństwa.

Przed CISO stoją też wyzwania wynikające z relacji z innymi działami i osobami odpowiedzialnymi za podejmowanie decyzji. Choć jeszcze w ubiegłorocznym badaniu 36% respondentów było pewnych, że zespoły cyberbezpieczeństwa biorą udział w konsultacjach na etapie planowania nowych inicjatyw biznesowych, w tym roku wynik ten spadł do 19%. Aż 56% badanych przyznaje, że zespoły odpowiadające za cyberbezpieczeństwo nie biorą udziału w konsultacjach, albo dołączają do nich zbyt późno podczas podejmowania przez liderów pilnych, strategicznych decyzji.  

Rys. 2. W jakim stopniu poniższe sytuacje dotyczą Twojej firmy

- Jak pokazują najnowsze wyniki badania EY, funkcja CISO w firmie jest często nadal niedoceniana. Zaskakujące i niepokojące są szczególnie wyniki wskazujące, że osoby odpowiedzialne za bezpieczeństwo informacji, nie tylko nie zyskują na znaczeniu, ale wręcz rzadziej niż jeszcze rok temu są stroną rozmów o strategicznych dla organizacji planach, wdrożeniach i kierunkach rozwoju. Część firm zdaje już sobie sprawę, że funkcje bezpieczeństwa informacji są kluczowe dla ich działalności, ale wciąż istnieje jeszcze grupa tych, postrzegających CISO jako hamulcowych, którzy spowalniają, a wręcz wstrzymują część biznesowych inicjatyw. Pokazuje to, że CISO nie mogą być jedynie ekspertami technicznymi, ale muszą także sprawnie poruszać się w swoich organizacjach, komunikując się językiem biznesu. Pozytywnym sygnałem płynącym z badania jest jednak to, że częściej niż w ubiegłym roku, osoby obejmujące funkcje bezpieczeństwa współpracują z pracownikami odpowiedzialnymi za ryzyko – dodaje Patryk Gęborys, Associate Partner EY w Dziale Cyberbezpieczeństwa.

Wyzwaniem stojącym przed CISO są również złożone i skomplikowane regulacje. Środowisko prawne jest niejednorodne i szefowie bezpieczeństwa informacji – szczególnie w międzynarodowych organizacjach - muszą funkcjonować w wielu jurysdykcjach jednocześnie (np. na poziomie krajowym, regionalnym czy globalnym). Co więcej, muszą również stosować się do wymogów prawnych, właściwych dla konkretnego sektora działalności organizacji (np. usług finansowych). O tym jak wymagające jest to wyzwanie, świadczy fakt, że niemal połowa ankietowanych w tegorocznym badaniu EY przyznała, że compliance jest jednym z najbardziej stresujących wyzwań w pracy CISO. 

57% badanych przewiduje z kolei, że w nadchodzących latach regulacje staną się jeszcze bardziej niejednorodne i będą wymagać poświęcenia im dodatkowej uwagi, a tym samym czasu. 

- W najbliższym czasie znaczna część aktywności szefów działów bezpieczeństwa informacji skupiona będzie na zapewnieniu zgodności z obowiązującymi regulacjami. Skomplikowane środowisko prawne stało się na przestrzeni ostatniego roku powodem dla którego CISO inaczej niż dotychczas postrzega rolę compliance. Z jednej strony bowiem przepisy prawne wymagają od nich coraz większego zaangażowania czasu i zasobów, a jednocześnie rzadziej niż jeszcze rok wcześniej są argumentem w negocjacjach budżetowych dla działów bezpieczeństwa informacji. Jest to więc kolejne ogromne wyzwanie stojące nie tylko przed samymi CISO, ale i całymi organizacjami – dodaje Jacek Sygutowski, Associate Partner EY w Dziale Cyberbezpieczeństwa.

O badaniu

Ogólnoświatowe Badanie Bezpieczeństwa Informacji EY to coroczna ankieta wśród osób odpowiedzialnych w firmach za cyberbezpieczeństwo. W tegorocznym badaniu udział wzięło 1010 respondentów z całego świata. 43% stanowili respondenci z regionu EMEIA, 36% z obu Ameryk, a 20% respondentów pochodziło z rejonu Azji i Pacyfiku. Badanie przeprowadzono w okresie od marca do maja 2021 r. wśród przedstawicieli firm o rocznych przychodach przekraczających 1 mld USD.

O firmie EY

EY jest światowym liderem rynku usług profesjonalnych obejmujących usługi audytorskie, doradztwo podatkowe, doradztwo biznesowe oraz doradztwo strategiczne i transakcyjne. Na całym świecie EY ma ponad 700 biur w 150 krajach, w których pracuje blisko 300 tys. specjalistów. Łączą ich wspólne wartości i przywiązanie do dostarczania klientom najwyższej jakości usług. Misją EY jest  - „Building a Better Working World”, bo lepiej funkcjonujący świat to lepiej funkcjonujące gospodarki, społeczeństwa i my sami.

EY w Polsce to prawie 4000 specjalistów pracujących w 7 biurach: w Warszawie, Gdańsku, Katowicach, Krakowie, Łodzi, Poznaniu i Wrocławiu oraz w Centrum Usług Wspólnych EY. EY Polska był wielokrotnie nagradzany przez media biznesowe tytułami najlepszej i najskuteczniejszej firmy doradztwa podatkowego, firma wygrywała również rankingi na najlepszą firmę audytorską.

EY Polska od 2003 roku prowadzi polską edycję międzynarodowego konkursu EY Przedsiębiorca Roku, której zwycięzcy reprezentują Polskę w międzynarodowym finale World Entrepreneur of the Year organizowanym co roku w Monte Carlo.

EY to jeden z najlepszych pracodawców w Polsce. Firma była wielokrotnie wyróżniana tytułem Najbardziej Pożądany Pracodawca w rankingu „Pracodawca Roku®” prowadzonym przez międzynarodową organizację studencką AIESEC. EY jest również laureatem w rankingu Great Place to Work w kategorii organizacji zatrudniających ponad 500 pracowników. EY to także Idealny Pracodawca według Uniwersum.