Czy dyrektorzy ds. bezpieczeństwa informacji zaczynają uginać się pod presją? Nowe badania sugerują, że potrzebują oni większego wsparcia

Zbyt wielu dyrektorów ds. bezpieczeństwa informacji znajduje się pod ciągłą presją, aby chronić swoje organizacje przed zagrożeniami cybernetycznymi. Jak wynika z nowego badania, są w tym zadaniu odosobnieni, co odbija się negatywnie nawet na ich zdrowiu psychicznym.

Badanie przeprowadzone przez firmę Nominet (rejestr domeny .uk w Wielkiej Brytanii) pokazuje, że dyrektorzy są tak sfrustrowani rosnącą odpowiedzialnością, że w obliczu ataku cybernetycznego byliby skłonni uciec się do radykalnych środków.

Firma przeprowadziła ankietę wśród 400 kierowników wyższego szczebla z dużych firm — zatrudniających średnio prawie 9 000 pracowników w Wielkiej Brytanii i Stanach Zjednoczonych. Jak się okazuje, w przypadku dyrektorów ds. bezpieczeństwa informacji, badanie pozwoliło odkryć pewne niepokojące tendencje. Po pierwsze, prawie 90% z nich pracuje więcej niż 40 godzin tygodniowo, a 27% przyznało, że stres związany z pracą miał wpływ na ich zdrowie fizyczne lub psychiczne. Po drugie, 52% nie uważa, że są postrzegani przez zarząd jako niezbędni — mimo że 76% osób na równorzędnych stanowiskach jest tego zdania. Bardziej niepokojący jest jednak fakt, że jedna trzecia dyrektorów ds. bezpieczeństwa informacji natychmiast zwolniłaby każdego pracownika, który okazałby się odpowiedzialny za naruszenie bezpieczeństwa (tj. padłby ofiarą ataku phishingowego w wyniku swojego zaniedbania).

Frustracja ta zdaje się po części wynikać z poczucia niedostatecznej władzy, która pozwoliłaby im wziąć odpowiedzialność za ataki — 90% ankietowanych przyznało, że doświadczyli braku co najmniej jednego zasobu niezbędnego do ochrony przed naruszeniami cybernetycznymi. Gdyby mogli otrzymać taki zasób z dnia na dzień, 59% z nich wybrałoby „zaawansowane technologie”.

Kolejny problem stanowi brak zgody między kierownikami wyższego szczebla co do tego, kto powinien wziąć na siebie odpowiedzialność w przypadku naruszenia. Na pytanie o to, kto ostatecznie ponosi odpowiedzialność za bezpieczeństwo informacji, 35% wskazało dyrektora generalnego, 32% — dyrektora ds. bezpieczeństwa informacji, a tylko 3% rozważnie przyznało, że nie ma możliwości, aby jedna osoba w organizacji brała na siebie całą odpowiedzialność za cyberbezpieczeństwo.

„To nie jest zrównoważone podejście ani do przywództwa, ani do zarządzania zagrożeniami cybernetycznymi” — podkreśla Russel Haworth. dyrektor generalny firmy Nominet. „Jeśli naprawdę chcemy zrobić dla naszych firm wszystko, co w naszej mocy, musimy połączyć siły. Kierownictwo wyższego szczebla musi się lepiej komunikować, edukować się nawzajem i dostrzegać swoje indywidualne ograniczenia”.

Badacze wyrażają nadzieję, że uda im się wywołać dyskusję i zachęcić kadry kierownicze wszystkich działów do oceny swoich indywidualnych mocnych i słabych stron, ustalenia zakresu odpowiedzialności, opracowania jaśniejszych linii dowodzenia oraz, przede wszystkim, traktowania bezpieczeństwa cybernetycznego jako wspólnego wysiłku.