מחקר: אנשי IT מודאגים מאבטחת מידע של החברה יותר מאבטחת ביתם הפרטי

מחקר: אנשי IT מודאגים מאבטחת מידע של החברה יותר מאבטחת ביתם הפרטי
מאת: מערכת Telecom News, 17.5.20, 12:41
 
המחקר נערך בקרב 750 מקצועני IT ואבטחת מידע וסייבר. גישות אבטחת המידע העדכניות גוררות את אנשי ה-IT למשחקי "חתול ועכבר". העברת האחריות בין צוותי IT וספקי שירות ענן גורמת ליותר בלבול ויותר פריצות אבטחה. למעלה ממחצית מהארגונים הוסיפו תפקיד חדש בשם "מנהל אבטחת מידע עסקי" (BISO) לעבודה יחד עם ה-CISO. הגיע הזמן לבנות מודל של אבטחה-לפני-הכול.
 
אבטחת מידע מייצרת פחד ובעיות אמון בקרב אנשי IT. כך עולה מדו"ח איומי הענן של אורקל ו-KPMG. המחקר, שנערך בקרב 750 מקצועני IT ואבטחת מידע וסייבר ברחבי העולם מצא, שגישת אבטחת מידע של תיקון והטלאה (Patching), שירותים המוגדרים בצורה שגויה ובלבול סביב מודלים חדשים באבטחת ענן, יצרו משבר אמון, שניתן לתקן, רק אם ארגונים הופכים את האבטחה לחלק מהתרבות העסקית שלהם.

נושא אבטחת המידע מדיר שינה מעיניהם של אנשי ה-IT
מהמחקר עולה:

מקצועני IT חוששים פי 3 מאבטחת הכספים והקניין הרוחני של החברה מאשר מאבטחת הבית הפרטי שלהם.
 
מקצועני IT מודאגים מספקי שירותי ענן. 80% מהם חוששים, שספקי שרותי הענן איתם הם עושים עסקים יהפכו למתחרים שלהם.
 
אנשי ה-IT מודאגים מאבטחת ה-IP הארגוני יותר מאשר שלום הבית ומשפחתם.

75% מהמשתתפים במחקר רואים בענן הציבורי בטוח יותר מהדאטה סנטרים שלהם, ובכל זאת 92% מהם סבורים, שהארגון שלהם לא ערוך לאבטחת שירותי ענן ציבורי.

כמעט 80% מהם אומרים, שפרצות אבטחת המידע, שקרו לאחרונה בארגונים אחרים, הגבירו את התמקדות הארגון שלהם באבטחת מידע.

גישות אבטחת המידע העדכניות גוררות את אנשי ה-IT למשחקי "חתול ועכבר"

אנשי ה-IT עושים שימוש במספר רב של מוצרי אבטחת מידע וסייבר שונים כדי לנסות ולתת מענה לצרכי אבטחת מידע, אך מוצאים עצמם בקרב מתיש, כיוון שמערכות אלו אינן מוגדרות כראוי בד"כ.

78% מהארגונים משתמשים ביותר מ-50 מוצרי אבטחת מיידע וסייבר שונים כדי לתת מענה לבעיות אבטחה; 37% משתמשים ביותר מ-100 מוצרי אבטחת מיידע וסייבר.

ארגונים, שבהם שירותי ענן הוגדרו בתצורה שגויה (misconfigured) , חוו מעל ל 10 אירועים של איבוד מידע בשנה האחרונה.

59% מהארגונים מספרים, שעובדים בעלי חשבונות עם הרשאות לאישורים בענן חוו מתקפת התחזות.

הטעויות הנפוצות ביותר בהגדרות היו ב:

חשבונות בעלי הרשאות מעבר לנדרש (37%),
חשיפה לאינטרנט של שרתים (35%),
חסר הזדהות מרובת אלמנטים (multi-factor authentication) במתן גישה לשירותים מרכזיים (33%).

העברת האחריות גורמת ליותר בלבול ויותר פריצות אבטחה
ארגונים מעבירים לענן עומסי עבודה קריטיים יותר מאי פעם, אבל הגידול בצריכת ענן יצר שטחים "עיוורים" כאשר צוותי IT וספקי שירותי ענן מנסים להבין את תחומי האחריות  של כל אחד מהם באבטחת המידע. בלבול זה יוצר משאיר את  צוותי IT להתמודד עם חשיפה לאיומי אבטחת מידע.

כמעט 90% מהחברות משתמשות בתוכנה כשירות (SaaS) וכ-76% משתמשות בתשתית כשירות (IaaS); מחציתן צפויות להעביר את כל הדאטה שלהן לענן בשנתיים הקרובות.

מודלים של 'אבטחה עם אחריות משותפת' גורמים לבלבול; רק 8% ממנהלי אבטחת המידע הצהירו, שהם מבינים היטב את מודל האבטחה המשותף.

70% מאנשי ה-IT חושבים ,שנדרשים יותר מדי כלים ייחודיים כדי לאבטח את פעילותם בענן הציבורי.

75% חוו אובדן דאטה משירות ענן יותר מפעם אחת.

הגיע הזמן לבנות מודל של אבטחה-לפני-הכול
כדי להתמודד עם החשש הגובר בנושא אבטחת מידע ועם סוגיות של אמון, על ספקי שירותי ענן וצוותי ה-IT לעבוד יחדיו כדי לבנות תרבות של אבטחה-לפני-הכול (security-first culture). מודל זה כולל את שלב הגיוס, ההכשרה והשימור של אנשי מקצוע מיומנים בתחום אבטחת מידע, תוך שיפור מתמיד של תהליכים וטכנולוגיות במטרה לצמצם את האיומים בעולם הדיגיטלי המתרחב.

69% מהארגונים מדווחים, שמנהל אבטחת המידע הראשי CISO שלהם מגיב או מתערב בפרויקטים של ענן ציבורי רק לאחר שכבר התרחש אירוע סייבר.

73% מהארגונים מחזיקים או מתכננים לגייס מנהל אבטחת מידע ראשי CISO עם יותר מיומנויות אבטחה בענן; ולמעלה ממחצית מהארגונים (53%) הוסיפו תפקיד חדש בשם "מנהל אבטחת מידע עסקי" (BISO), שיעבוד ביחד עם ה-CISO ויסייע להטמיע את תרבות האבטחה בחברה.

88% מאנשי ה-IT סבורים, שב-3 השנים הקרובות, רוב הסביבות שלהם בענן תכלנה יכולות של תיקונים ועדכונים חכמים ואוטומטיים כדי לשפר את האבטחה.

87% מאנשי ה-IT מציינים, שיכולות AI/ML הן "יכולות חובה" במוצרי אבטחה חדשים, שהם מתכננים לרכוש על מנת להגן טוב יותר מפני מקרים כמו הונאה, תוכנות זדוניות ותצורות שגויות.

סטיב דאהב, סגן נשיא בכיר, ענן אורקל: "בשנתיים האחרונות, העברת המידע החיוני לענן (lift-and-shift) נראתה כהבטחה גדולה, אך התיקונים טלאי-על-טלאי של כלי האבטחה והתהליכים כבר מזכירים את פרנקנשטיין והובילו לשורה של הגדרות שגויות ודליפת מידע.

עם זאת, נעשתה התקדמות חיובית. אימוץ כלים הממנפים אוטומציה חכמה, שיסייעו בסגירת פער המיומנויות, נמצא במפת הדרכים של תקציבי ה-IT לעתיד הקרוב, וההנהלה הבכירה פועלת לאחד בשיטתיות את התחומים העסקיים השונים בארגון תחת התפיסה של 'אבטחה לפני הכול' כתרבות ארגונית".

טוני בופומאנטה, מנהל משותף גלובלי וראש צוות ארה"ב בKPMG LLP's- שירותי אבטחת סייבר. "בתגובה לסביבה המאתגרת כיום, חברות האיצו את תנועת עומסי העבודה שלהן והמידע הרגיש המשויך להן לכיוון הענן. זאת, כדי לתמוך בדרך עבודה החדשה ולייעל את מודלי העלויות. מהלך זה חושף חולשות אבטחה קיימות ויוצר סיכונים חדשים. כדי להצליח לנהל את רמת האיום המוגבר במציאות החדשה הזו, חיוני, שמנהלי אבטחת מידע (CISOs) יישמו את האבטחה כחלק מאסטרטגיות התכנון של ההטמעה וההגירה לענן, תוך קשר מתמיד עם ההיבט העסקי".

הדו"ח המלא - כאן.