پاناسییر (panaseer) نتایج حاصل از یک مطالعه حمایت شده توسط Forrester Consulting را منتشر کرده است، که نشان میدهد یکی از چالشهای اصلی یک سازمان این است که رهبران امنیت آن اعتماد به نفسی کاذب دارند. این اعتماد به نفس کاذب درباره امنیت سازمان ناشی از سرمایهگذاریهای زیاد روی فناوریهای مختلف است.
این مطالعه از بیش از 250 تصمیم گیرنده ارشد امنیت سازمان در آمریکای شمالی و اروپا نظرسنجی کرده است. شرکت کنندگان در این نظرسنجی CISO, CIO, IT and security VPsهای سازمانهایی با 3 هزار تا بیش از 25هزار کارمند بودهاند.
در حال حاضر مدیران ارشد امنیت از ابزار و فناوریهای متنوعی برای شناسایی ریسک و تست اثربخشی کنترلهای امنیتی خود استفاده میکنند. در نتیجه مدیران ارشد امنیت سایبری از ارزیابیهای به موقع محروم میشوند که برای درک واقعی از وضعیت امنیتی سازمان آنها را ملزم میکند تا دادههای مربوط به سیستمهای مختلف را گرد هم آورند،که رویکردی واکنشی و زمانبر است و قابلیت اجرا در مقیاسهای گوناگون را ندارند.
این تحقیق مدعی این است، که موارد بالا باعث اختلاف بین ظاهر مسئله و واقعیت شده است. همچنین اعتماد به نفسی کاذب به تصمیم گیرندگان امنیتی میدهد. 86 درصد از پاسخ دهندگان مطمئنند که هیچگونه حفرهای در کنترلهای امنیتی دستگاهها، برنامهها، افراد و دادهها ندارند. با این حال پیچیدگی زیرساختهای فناوری اطلاعات امروز و ناهمگونی ابزارهای امنیتی سازمانی، حفظ امنیت و جوانبش را دشوار میکند.
در این مطالعه آمده است: “کمپانیها مسائل امنیتی و اقدامات مبتکرانه برای مقابله با ریسکها را الویت بندی میکنند و روی تکنولوژیهای مختلف سرمایه گذاری میکنند. متأسفانه سرمایه گذاری روی تکنولوژیهای مختلف باعث ایجاد اعتماد به نفس کاذب مدیران درباره وضعیت امنیتی سازمانها شده است. مدیران ارشد امنیتی باید متوجه این مسئله باشند که لزوما استفاده از ابزارهای مختلف و سرمایه گذاری روی تکنولوژیهای گوناگون موجب امنیت بالا نمیشود بلکه استفاده درست و بجا از ابزارهاست که امنیت سازمان را تامین میکند.
97 درصد از پاسخ دهندگان به نظرسنجی تجربه چالشهایی که در کار با ابزارها داشتند را گزارش کردند. وقتی از آنها درباره اساسیترین چالشی که در کار با ابزارهای امنیتی با ان مواجه شده اند پرسیدیم. بیشترین پاسخها شامل موارد زیر میشود:
· کنترل گپهای موجود در پوشش
· مشاهده لیست بلند بالایی از ASSET در سازمان (43درصد)
· جمع آوری، عادی سازی، جمع کردن، کاهش حجم و ارتباط دادههای متفاوت (39درصد)
· ردیابی ASSET و کنترل آنها تا با سیاست های نظارتی و انطباقی تداخلی نداشته باشد(39درصد)
· تعیین اثربخشی کنترلهای اعمال شده (38درصد)
· مشاهده زمانی که شرکت با ریسکهای امنیتی مواجه است (37 درصد)
· ردیابی عملکرد کنترلهای امنیتی در گذشت زمان (37 درصد)
با افزایش سطح تهدید، 64 درصد از کمپانیها پیاده سازی یک فریمورک ریسک هم تراز با ریسک امنیت سایبری و ریسک سازمانی را در اولویت اصلی خود قرار میدهد. با این حال، این مطالعه مشخص میکند که یک روش متمرکز برای مدیریت ریسک وجود ندارد.