23
Сб, нояб

Большинство глобальных организаций не могут научиться на своих «кибер-ошибках»: опрос WTW

grabliБольшинство руководителей во всем мире считают, что их организации могут добиться большего успеха, когда дело доходит до изучения их прошлых кибер-ошибок, об этом стало известно порталу Allinsurance.kz из результатов глобального опроса, проведенного The Economist Intelligence Unit (EIU) и Willis Towers Watson. EIU опросил более 450 компаний по всему миру о своих стратегиях и проблемах, с которыми они сталкиваются в создании кибер-устойчивых организаций.

В прошлом году одна треть опрошенных компаний испытала серьезный кибер-инцидент, тот, который привел к нарушению операционной деятельности, ухудшил финансовые показатели и повредил репутации и большинство таких компаний отметили, что высока вероятность повторения такого инцидента в ближайшие 12 месяцев, говорится в отчете «Как совет директоров может возглавлять киберустойчивую организацию».

В то время как большинство организаций считают, что у них хорошо поставлена работа по реагированию на инциденты, то только 13% заявили, что их организации превышают средние показатели, связанные с «работой над ошибками» в результате кибер-инцидентов в их стратегиях устойчивости. В результате опроса не обнаружилось достаточного консенсуса среди советов директоров  и руководителями по вопросам планирования киберустойчивости, включая развертывание стратегий в рамках организации и решение вопросов, какие выделять средства и, какие области организации подвергаются наибольшему риску.

Разница в кибер-готовности также была выявлена в разных географических регионах, поскольку североамериканские компании сильно контрастируют со своими коллегами в Азии и, в некоторой степени, с ЕС по таким вопросам, как ожидание частоты и тяжести последствий воздействия кибератак, уверенность в способности организации  восстанавливаться от воздействия кибератаки.

Интересно отметить, что из четырех регионов, охваченных исследованием (Северная Америка, Великобритания, Европа и Азия), Великобритания имела самый высокий показатель восприимчивости к киберустойчивости - 21 % опрошенных.

Другие ключевые выводы отчета включают:

  •  Средняя стоимость корпоративных мероприятий по обеспечению кибер-устойчивости составила около 1,7% от выручки, а 96% членов совета директоров считают, что этого недостаточно.
  •  Многим компаниям не хватает уверенности в их способности привлекать соответствующих специалистов и обеспечивать подготовку рабочей силы, грамотной в отношении киберрисков.
  •  Руководители называют  масштабы финансового и репутационного риска, как самую важную причину, по которой советом директоров должен уделять внимание вибербезопасности.
  •  Наибольшие затраты в процентах от дохода (2-3%) на обеспечение устойчивости к киберугрозам в Северной Америке, тогда как другие регионы тратят 1-2% или менее.
  •  Среди руководителей нет единого мнения в отношении того, как распределять кибер-бюджеты, но были даны очень схожие ответы между направлениями: «технологией для усиления киберзащиты» и «приобретением талантов в сфере ИТ, обучением / развитием навыков».
  •  Большинство регионов (3 из 4 регионов) считают, что совет директоров должен следить за кибер-рисками, а Европа выразила мнение, что это должна быть специальная кибергруппа.

«Для компаний важно понять, что достижение киберустойчивости - это императив всей компании, который не должен быть привязан к определенным ролям или функциям», - говорит Энтони Дагостино, глобальный глава отделения киберрисков  Willis Towers Watson.

«Советы директоров должны обозначить стратегические рамки, а исполнительные органы задать тон в своих организациях, предоставляя заинтересованным сторонам, таким как ИТ, риск менеджмент, HR, юристы и комплайенс возможность внедрять интегрированную стратегию управления рисками и отказоустойчивости», добавил он.

«Хотя технологии останутся важным элементом защиты, более половины кибер-инцидентов связаны с поведением сотрудников и дефицитом талантов в области кибербезопасности, поэтому инвестиции в другие сферы, такие как решения для человеческого капитала и киберстрахование, должны стать частью обсуждения между советом директоров и исполнительным органом, - объяснил Дагостино.