Peste jumătate dintre respondenţi (56%) sunt de părere că organizaţiile lor au ocolit procesele de securitate cibernetică pentru a facilita implementarea noilor cerinţe legate de telemuncă şi de un regim de muncă flexibil, potrivit raportului EY Global Information Security Survey 2021.

Raportul EY Global Information Security Survey 2021 a sondat opiniile a peste 1.000 de lideri din domeniul securităţii cibernetice din cadrul companiilor din toată lumea. În acelaşi timp, liderii în securitate cibernetică declară că nu au fost niciodată mai preocupaţi ca acum de capacitatea lor de a gestiona ameninţările cibernetice (43%). Peste trei sferturi dintre aceştia (77% faţă de 59% conform ediţiei anterioare a GISS) avertizează în privinţa creşterii numărului de atacuri cibernetice cu impact puternic în ultimele 12 luni, cum ar fi cele de tip ,,ransomware”.

,,Adoptarea noilor practici de muncă în contextul pandemiei a expus companiile la atacuri cibernetice tot mai numeroase şi mai sofisticate şi a adus în prim plan subfinanţarea mijloacelor de apărare cibernetică”, susţin autorii cercetării.

În pofida ameninţării tot mai mari a atacurilor cibernetice, bugetele pentru securitatea cibernetică rămân la un nivel redus în raport cu cheltuielile totale cu tehnologia informaţiei, potrivit ediţiei din acest an a GISS. „Deşi organizaţiile respondenţilor au înregistrat venituri medii de 11 miliarde de dolari în ultimul exerciţiu financiar, valoarea medie a cheltuielilor cu securitatea cibernetică a fost de doar 5,28 milioane de dolari”, susţin autorii studiului.

Aproape patru din zece respondenţi (38%) atrag atenţia că bugetul organizaţiei lor este sub nivelul necesar gestionării noilor provocări apărute în ultimele 12 luni. Acelaşi procent de respondenţi declară că cheltuielile cu securitatea cibernetică nu sunt integrate corespunzător în costul investiţiilor strategice, cum ar fi transformarea lanţului de aprovizionare IT. În acelaşi timp, mai bine de o treime (36%) spun că este doar o chestiune de timp până când organizaţia lor va suferi o breşă de securitate majoră care ar fi putut fi evitată, dacă ar fi existat investiţii de un nivel adecvat în mijloacele de apărare cibernetică.

Totodată, relaţiile esenţiale dintre liderii în securitate cibernetică şi cei care deţin poziţii importante în cadrul organizaţiei sunt lipsite de deschidere şi de forţă, potrivit ediţiei 2021 a raportului GISS.

Aproximativ 41% dintre liderii în securitate cibernetică sondaţi au descris relaţia lor cu zona de marketing drept negativă, în timp ce 28% au menţionat că relaţia cu proprietarii companiei lasă de dorit. Drept urmare, în timp ce 36% dintre respondenţii din 2020 aveau convingerea că echipele de securitate cibernetică sunt consultate încă din faza de planificare a noilor iniţiative comerciale, acest procent a scăzut la 19% în 2021. Mai mult, doar 25% consideră că liderii de business ar descrie funcţia de securitate cibernetică a organizaţiei lor drept una comercială.

În contextul în care liderii de companii văd în tehnologie mijlocul prin care îşi pot realiza viziunea şi transforma compania, aceştia nu îşi pot permite să întoarcă spatele riscurilor cibernetice care vin la pachet cu aceste demersuri. Misiunea directorilor de securitate cibernetică va fi să se asigure că liderii de companii vor înţelege valoarea adusă de investiţiile în securitatea cibernetică şi vor conştientiza faptul că acestea reprezintă o parte integrantă a procesului de transformare.

,,Investiţiile majore din ultimii 10 ani, care au avut loc în zona de IT din România, au dus la o uniformizare a practicilor şi procedurilor de lucru pe zona securităţii cibernetice specifice celor din vestul Europei şi SUA. Practica ultimelor luni a arătat că şi în cazul companiilor din România investiţiile în zona de apărare contra atacurilor informatice au crescut, chiar dacă per total nu ne aflăm la un nivel rezonabil de rezilienţă nici în mediul public şi nici în cel privat. Soluţiile antivirus rămân în continuare cel mai utilizat mijloc de protecţie, însă acest lucru s-a dovedit a fi insuficient dacă nu vine în completare cu alte soluţii”, a afirmat Cristian Zaharia, Manager, Forensic Technnologies and Discovery Services, EY România.

Potrivit acestuia, nu trebuie neglijată nici implementarea directivei NIS (Network Internet Security, n.r.), transpusă în legislaţia din România prin legea nr. 362/2018. ,,Noi acte normative şi regulamente adoptate în ultima perioadă conturează cadrul necesar implementării directivei NIS. Asemănător cu situaţia în care a fost implementată legislaţia GDPR, în viitorul apropiat vom asista la momentul în care şi normativele care vin în completarea legii 362/2018 vor fi finalizate. Acesta va însemna o bornă importantă la care companiile din România ar trebui să se gândească întrucât nerespectarea acestei legislaţii poate atrage după sine sancţiuni importante. Astfel, cu cât măsurile în zona apărării împotriva atacurilor informatice vor fi luate mai din timp, cu atât companiile se vor pune la adăpost atât de eventuale riscuri generate de expunerea la ameninţările cibernetice, dar şi de eventuale sancţiuni legislative”, a menţionat Cristian Zaharia.

Datele din raportul GISS din acest an se bazează pe un sondaj în rândul liderilor în securitate cibernetică (Chief Information Security Officer sau CISO) şi alţi membri ai consiliilor de administraţie din 1.010 organizaţii, derulat în perioada martie – mai 2021. CISO şi alţi membri ai conducerilor executive superioare au reprezentat 50% dintre respondenţi; restul respondenţilor au fost profesionişti în domeniul securităţii cibernetice de nivel C-1.