70% uczestników CXO Insight „Potencjał zmiany cyberbezpieczeństwa” ocenia, że poziom bezpieczeństwa organizacji jest odpowiedni. Jednocześnie ponad połowa ocenia kompetencje CyberSec w firmie jako niedostatecznie, ale w zdecydowanej większości organizacji trwa ich uzupełnianie. Jakie jeszcze odpowiedzi przyniosło badanie?
W pierwszym z serii sondaży CXO Insight towarzyszących spotkaniom CyberSec Chapter poświęconym transformacji cyberbezpieczeństwa na polskim rynku pytaliśmy o potencjał zmiany. Uczestnicy naszej społeczności mieli już możliwość czytać w magazynie ITwiz o kilku typach organizacji ze względu na podejście do cyberbezpieczeństwa – zarówno do inwestycji, jak i zmiany wymaganej presją cyberzagrożeń. Tamte ramy stanowiły osnowę dla ankiety. Na sześć pytań uzyskaliśmy ponad 60 odpowiedzi top menedżerów IT i bezpieczeństwa z firm działajacych na polskim rynku.
Cyberbezpieczni
W pierwszej kolejności pytalismy o subiektywną ocenę poziomu cyberbezpieczeństwa firmy.
Warto na wstępie poczynić pewne zastrzeżenie. Do naszej ankiety zaprosiliśmy grono decydentów cyberbezpieczeństwa, w większości pełniących funkcje CIO i CTO oraz CSO/CISO. Odpowiedź na to pytanie nie jest więc zagrożona brakiem świadomości zagrożeń czy możliwości ich oceny. Przynosi odpowiedź o charakterze swoistego baromertu nastrojów wśród CXO zaangażowanych w działalność społeczności CXO HUB i chaptera CyberSec w szczególności. Jest to oczywiście grono osób o najwyższych kompetencjach i osiągnięciach zawodowych, trudno więc rzutować wyniki całego zresztą naszego badania szerzej, na cały rynek. Jest to więc ocena sytuacji przez czołowych menedżerów obszarów technologii i binzesu, w aktywnie działających w sferze cyfryzacji firmach i instytucjach.
Zdecydowana większość uczestników naszej ankiety – ponad 70% – uważa, że poziom cyberbezpieczeństwa w ich firmie jest odpowiedni. Zdaniem ponad jednej czwartej osób natomiast – poziom jest zbyt niski.
Co ciekawe, spośród 43 osób, które oceniły poziom cyberbezpieczeństwa jako odpowiedni, 25 osób uważa zarazem w kolejnych pytaniach, że poziom kompetencji CyberSec w firmie jest niedostateczny, ale jest w trakcie uzupełniania do odpowiedniego.
Osoby oceniające poziom cyberbezpieczeństwa firmy jako odpowiedni, najczęściej uważały też, że struktura rynku rozwiązań zmierza obecnie do uporządkowania (33 z 43 osób).
Zdecydowana większość z tych osób – 29 z 43 osób – ocenia też, że wykorzystuje istotną część potencjału posiadanych rozwiązań, a 11 osób ocenia nawet, że wykorzystuje go w pełni.
Kompetencje w trakcie rozbudowy
Po pytaniu o ocenę poziomu cyberbezpieczeństwa, podnieśliśmy kwestię ocenę kompetencji z obszaru CyberSec, którymi dysponuje firma. W tym wypadku zakładaliśmy, że poziom może być adekwatny do potrzeb albo niedostateczny, W tym drugim wypadku rzecz może jednak zmierzać ku poprawie albo – może następować dalsza erozja kompetencji.
Ponad 60% ankietowanych ocenia, że jest on niedostateczny. Należy jednak zauważyć, że ogółem 56% ocenia, że poziom kompetencji choć niedostateczny, to jest obecnie w trakcie uzupełniania. A tylko cztery osoby uznały, że sytuacja dodatkowo się pogarsza. Zdaniem 38% osób, obecny poziom kompetencji jest odpowiedni do potrzeb.
Warto zauważyć, że wśród najliczniejszej grupy osób oceniających kompetencje w firmie, jako niedostateczne, ale zmierząjace ku poprawie, większość ocenia że w istotnym stopniu albo w pełni wykorzystuje potencjał posiadanych rozwiązań (28 osób z 34).
Przejaśnia się – łatwiej będzie o racjonalne zarządzanie CyberSec
Przez pryzmat subiektywnej oceny poczucia bezpieczeństwa – a więc realnej potrzeby firm oraz możliwości sprawczych zmiany, to jest posiadanych zasobów kompetencji cyberbezpieczeństwa, można spojrzeć na to, jak uczestnicy badania oceniają dostępne środki i rozwiązania. Jednym słowem, jak oceniaja rynek. W powszechnym przekonaniu ewoluuje on dość szybko. Zarazem jednak żywiołowy rozwój sprzyja rozregulowaniu definicji i standardów. W efekcie trudno jest wybierać adekwatne do potrzeb i możliwości rozwiązania cyberbezpieczeństwa, trudno je też porównywać.
W jaki sposób sytuację oceniaja jednak uczestnicy CXO Insight?
Ponad 3/4 osób uważa, że obecna struktura rynku rozwiązań CyberSec zmierza do uporządkowania. Klarują się standardy i definicje. Odmiennie ocenia sytuację 16% osób – przychylają się do opinii, że panuje pomieszanie definicji i pojęć a sytuacja nie służy transparentności.
Ile potencjału CyberSec drzemie pod maską?
Omówione powyżej kwestie korespondują z oceną własnych możliwości wykorzystania posiadanego potencjału CyberSec. Spotyka się często opinie, że firmy kupują rozwiązania na wyrost, ponad potrzeby. Niekiedy wiąże się to ze scenariuszem pośpiesznego nadrabiania zaległości pod wpływem presji regulacyjnej albo incydentu, który kosztował organizację wymierne straty.
W naszym badaniu jedna piąta uczestników deklaruje, że w pełni wykorzytuje potencjał i możliwości posiadanych rozwiązań. Najwięcej, bo ponad 60% uczestników ankiety ocenia, że wykorzystuje potencjał swoich rozwiązań w istotnym stopniu. Na przeciwnym biegunie są respondenci, niemal jedna piąta, którzy wykorzystują tylko podstawowe funkcje. Na tyle pozwalają im umiejętności, albo takie są potrzeby firmy.
CyberSec nie spadł wczoraj z nieba
Równolegle do potrzeb i możliwości w zakresie cyberbezpieczeństwa kształtuje się podejście do inwestycji, jaką są nakłady na CyberSec. Oby jak najwięcej było pomiędzy tymi obszarami korelacji. Jakkolwiek służebne wobec biznesu, bezpieczeństwo może dostarczyć danych i informacji kształtujących apetyt firmy na ryzyko, a. A z pewnością uczynić ten wybór świadomym.
70% ankietowanych deklaruje, że CyberSec rozwija się ewolucyjnie w wymiarze rozwiązań i kompetencji. To znakomity wynik, bowiem oznacza, że CyberSec „nie leżał odłogiem” i odpowiedź na pojawiajace się potrzeby jest w zasięgu ręki. Koresponduje to z odpowiedziami na pierwsze pytania naszego badania.
Jedna czwarta uczestników określa swoją aktualną strategię inwestycyjną jako agresywną – skokowe, szybkie nadrabianie zaległości, jakie narosły w toku rozwoju Cyber Sec w firmie.
Znikoma liczba uczestników ankiety ocenia swoją politykę inwestycyjną jako minimalistyczną, w powiązaniu z brakiem zagrożeń.
Konsolidacja partnerów służy komplementarności CyberSec
W kontekście zmiany cyberbezpieczeństwa bardzo ważna jest kwestia relacji z partnerami z obszaru bezpieczeństwa. Wobec braku specjalistów bezpieczeństwa, część firm pozyskuje kompetencje z zewnątrz. Wynajmując osoby, zespoły albo uslugi bezpieczeństwa. Wybór i implementacja rozwiązań wymaga długofalowej współracy, zaufania. Szereg rozwiązań wymaga też wspólnego utrzymywania i rozwoju.
Podejście do współpracy z partnerami może też odzwierciedlać kierunek transformacji. Pytaliśmy o ich dynamikę: czy nasila się, wraz z pojawieniem się potrzeb i wyzwań przekraczajacych możliwości własne? Czy następuje konsolidacja związana z przeglądem dotychczasowego portfela partnerów i rozwiązań? A może firmy stawiają jednak na rozwój kompetencji wewnątrz organizacji?
Blisko połowa uczestników badania deklaruje, że konsoliduje a wiec i redukuje liczbę partnerów aby uzyskać kompementarność obsługi. Nieco mniej niż 1/3 osób dekalruje, że firma stawia na wewnętrzny rozoj kompetencji, wychodząc z założenia, iż to strategiczne zasoby firmy. Uzupełnia i rozwija swój portfel partnerów jedna piąta uczestników badania.
Metryczka badania
W pierwszym badaniu CXO Index dla cyklu CXO HUB CyberSec wzięlo udział 61 osób.