اعتماد به نفس کاذب مدیران امنیتی ناشی از سرمایه گذاری‌ روی فناوری‌هاست!

پاناسییر (panaseer) نتایج حاصل از یک مطالعه حمایت شده توسط Forrester Consulting را منتشر کرده است، که نشان می‌دهد یکی از چالش‌های اصلی یک سازمان این است که رهبران امنیت آن اعتماد به نفسی کاذب دارند. این اعتماد به نفس کاذب درباره امنیت سازمان ناشی از سرمایه‌گذاری‌های زیاد روی فناوری‌های مختلف است.

این مطالعه از بیش از 250 تصمیم گیرنده ارشد امنیت سازمان در آمریکای شمالی و اروپا نظرسنجی کرده است. شرکت کنندگان در این نظرسنجی CISO, CIO, IT and security VPsهای سازمان‌هایی با 3 هزار تا بیش از 25هزار کارمند بوده‌اند.

در حال حاضر مدیران ارشد امنیت از ابزار و فناوری‌های متنوعی برای شناسایی ریسک و تست اثربخشی کنترل‌های امنیتی خود استفاده می‌کنند. در نتیجه مدیران ارشد امنیت سایبری از ارزیابی‌های به موقع محروم می‌شوند که برای درک واقعی از وضعیت امنیتی سازمان  آن‌ها را ملزم می‌کند تا داده‌های مربوط به سیستم‌های مختلف را گرد هم آورند،که رویکردی واکنشی و  زمانبر است و قابلیت اجرا در مقیاس‌های گوناگون را ندارند.

این تحقیق مدعی این است، که موارد بالا باعث اختلاف بین ظاهر مسئله و واقعیت شده است. همچنین اعتماد به نفسی کاذب به تصمیم گیرندگان امنیتی می‌دهد. 86 درصد از پاسخ دهندگان مطمئنند که هیچگونه حفره‌ای در کنترل‌های امنیتی دستگاه‌ها، برنامه‌ها، افراد و داده‌ها ندارند. با این حال پیچیدگی زیرساخت‌های فناوری اطلاعات امروز و ناهمگونی ابزارهای امنیتی سازمانی، حفظ امنیت و جوانبش را دشوار می‌کند.

در این مطالعه آمده است: “کمپانی‌ها مسائل امنیتی و اقدامات مبتکرانه برای مقابله با ریسک‌ها را الویت بندی می‌کنند و روی تکنولوژی‌های مختلف سرمایه گذاری می‌کنند. متأسفانه سرمایه گذاری روی تکنولوژی‌های مختلف باعث ایجاد اعتماد به نفس کاذب مدیران درباره  وضعیت امنیتی سازمان‌ها شده است. مدیران ارشد امنیتی باید متوجه این مسئله باشند که لزوما استفاده از ابزارهای مختلف و سرمایه گذاری روی تکنولوژی‌های گوناگون موجب امنیت بالا نمی‌شود بلکه استفاده درست و بجا از ابزارهاست که امنیت سازمان را تامین می‌کند.

97 درصد از پاسخ دهندگان به نظرسنجی تجربه چالش‌هایی که در کار با ابزارها داشتند را گزارش کردند. وقتی از آن‌ها درباره اساسی‌ترین چالشی که در کار با ابزارهای امنیتی با ان مواجه شده اند پرسیدیم. بیشترین پاسخ‌ها شامل موارد زیر می‌شود:

·        کنترل گپ‌های موجود در پوشش

·        مشاهده لیست بلند بالایی از ASSET در سازمان  (43درصد)

·        جمع آوری، عادی سازی، جمع کردن، کاهش حجم و ارتباط داده‌های متفاوت (39درصد)

·        ردیابی ASSET و کنترل آن‌ها تا با سیاست های نظارتی و انطباقی تداخلی نداشته باشد(39درصد)

·        تعیین اثربخشی کنترل‌های اعمال شده (38درصد)

·        مشاهده زمانی که شرکت با ریسکهای امنیتی مواجه است (37 درصد)

·         ردیابی عملکرد کنترل‌های امنیتی در گذشت زمان (37 درصد)

با افزایش سطح تهدید، 64 درصد از کمپانی‌ها پیاده سازی یک فریمورک ریسک هم تراز با ریسک امنیت سایبری و ریسک سازمانی را در اولویت اصلی خود قرار می‌دهد. با این حال، این مطالعه مشخص می‌کند که یک روش متمرکز برای مدیریت ریسک وجود ندارد.