Nemrég a Világgazdasági Fórum friss jelentéséből is kiderült, hogy esetenként jelentős különbségek tapasztalhatók a C-szintű vezetők és saját biztonsági szakértőik között a szervezetek kiberbiztonsági ellenállóképességének értékelésében. Az előbbiek ugyanis gyakran vannak róla meggyőződve, hogy mindent megtesznek a fenyegetések kezeléséért, a gyakorlatban viszont a kelleténél sűrűbben bukkannak fel a veszélyes sebezhetőségek vagy az utóbb szükségessé váló, soron kívüli intézkedések.

Abban a kutatásban a megkérdezett cégvezetők 92 százaléka látta úgy, hogy náluk a "kiberreziliencia" beépül a vállalati kockázatkezelési stratégiákba, míg a biztonsági vezetőknek csak 55 százaléka vélekedett ugyanígy. Ez nyilván jelentős megosztottságot jelez a helyzet megítélésében, amelynek az lehet a legfőbb oka, hogy a kiberbiztonsági csapat gyakran úgy érzi, hogy nem kérik ki véleményét, sőt a szempontjaikat is simán feláldozzák a hatékonyságra vagy a költségekre hivatkozva.

Ezt a felállást most egy másik kutatás is megerősíti. A Trend Micro korábbi felméréseit feldolgozó anyaga szerint csak az informatikai döntéshozók fele gondolja úgy, hogy az igazgatóság is tisztában van a kiberbiztonsági kockázatokkal. 90 százalékuk viszont arról is meg van győződve, hogy a belátástól függetlenül a C-szintű vezetők más prioritást követnek, például a digitális átalakulást vagy a termelékenység javítását, és a biztonsági követelményeket akadálynak tekintik céljaik elérésében.

A Trend Micro több mint 5300 IT-vezető válaszait gyűjtötte össze, akik a világ 26 országában legalább 250 főt foglalkoztató vállalkozásoknál dolgoznak. A tanulmány egyik legérdekesebb megállapítása, hogy az igazgatósági tagok nem kis része egyszerűen nem hajlandó tudomást venni a kiberbiztonsági szempontokról: 26 százalékuk egyszerűen csak nem tesz semmit, hogy megismerje azokat, további 20 százalékuk pedig egyszerűen nem hajlandó megérteni a szervezetét érintő biztonsági kockázatokat.

Az egyik nem éri, a másik rosszul magyarázza

Mindez ugyanazt a "kiberbiztonsági szakadékot" írja le, amelyre már a Világgazdasági Fórum riportja is figyelmeztetett, és emelyik komoly feszültséget okoz az információbiztonsági csapatok és a vezetőség között. Ennek eredményeként ráadásul az informatikai döntéshozók több mint négyötöde, 82 százaléka állítja, hogy a kiberbiztonsági fenyegetettségek jelentőségének szándékos elbagatellizálását várják tőle, sőt egyharmad részük úgy érzi, hogy állandó nyomás alatt áll ebben a tekintetben.

A felmérés alapján a vezetőségi struccpolitikára jellemző, hogy az igazgatósági tagok a válaszadók 62 százaléka szeint csak akkor néznek szembe érdemben a kiberbiztonsági kockázatokkal, amikor a szervezetnél tényleg valamilyen támadást vagy adatszivárgást tapasztalnak, 61 százalékuk pedig az ügyfelek nyomását és az üzletvesztés lehetőségét említi, mint ami végre kizökkentheti a vezetőket. Ez utóbbi természetesen a biztonsági szakembereken is múlik, aki nem mindig a fontos információ átadásának fekete öves mesterei.

Ahogy már a Világgazdasági Fórum kutatása is megállapította, nem életszerű dolog a felső vezetés megvilágosodásra várni, így az a kiberbiztonsági részlegek feladata lenne, hogy felvetéseik közérthető formában kerüljenek a döntéshozók elé. A technikai jellegű okoskodás ugyanis nyomasztó lehet azoknak, akik nem foglalkoznak ilyesmivel napi szinten; a Trend Micro szerint a legtöbb vezető egyébként megérti, hogy a munkaköri felelőssége lenne a tájékozódás, de nagyon nehezen követi a kiberbiztonsági környezet gyorsan változásait.

Az sem újdonság, hogy a hatékonyabb kommunikáció jegyében a kiberbiztonsági szakembereknek is jobban kellene érteniük az üzlet működését, az egyes eszközök és műveletek fontosságát. Ez nagyban megkönnyítheti az IT-vezetők dolgát is, ha meg akarják értetni a legfelsőbb szintű döntéshozókkal, hogy milyen kockázatokkal kell számolniuk, és azokat hogyan lenne érdemes kezelniük: a kiberbiztonság dokumentációval, mérőszámokkal és az üzleti kockázatokról szóló megbeszélésekkel vagy jelentésekkel is formalizálható.