אנשי IT מודאגים מאבטחת מידע של החברה יותר מאשר מאבטחת ביתם הפרטי

אנשי IT מודאגים מאבטחת מידע של החברה יותר מאשר מאבטחת ביתם הפרטי

-  מקצועני IT חוששים פי 3 מאבטחת הכספים והקניין הרוחני של החברה מאשר מאבטחת הבית שלהם

-   78% מהארגונים משתמשים ביותר מ-50 מוצרי אבטחת מידע וסייבר שונים כדי לתת מענה לבעיות אבטחה; 37% משתמשים ביותר מ-100 מוצרי אבטחת מידע וסייבר.

-  ארגונים שבהם שירותי ענן הוגדרו בתצורה שגויה (misconfigured), חוו מעל ל-10 אירועים של איבוד מידע בשנה האחרונה.

-  רק 8% ממנהלי אבטחת המידע הצהירו כי הם מבינים היטב את מודל 'האחריות המשותפת' (בין הלקוח לספק שרותי הענן)

-  87% מאנשי ה-IT מציינים שיכולות AI/ML הינן "יכולות חובה" במוצרי אבטחה חדשים שהם מתכננים לרכוש.

אבטחת מידע מייצרת פחד ובעיות אמון בקרב אנשי IT – כך עולה מדו"ח איומי הענן של אורקל ו-KPMG. המחקר, שנערך בקרב 750 מקצועני IT ואבטחת מידע וסייבר ברחבי העולם מצא כי גישת אבטחת מידע של תיקון והטלאה (Patching), שירותים המוגדרים בצורה שגויה ובלבול סביב מודלים חדשים באבטחת ענן, יצרו משבר אמון שניתן לתקן רק אם ארגונים הופכים את האבטחה לחלק מהתרבות העסקית שלהם.

‍

נושא אבטחת המידע מדיר שינה מעיניהם של אנשי ה-IT

מהמחקר עולה, כי אנשי IT מודאגים מאבטחת המידע של החברה שלהם יותר מאשר מאבטחת ביתם הפרטי.

-  מקצועני IT חוששים פי 3 מאבטחת הכספים והקניין הרוחני של החברה מאשר מאבטחת הבית שלהם.

-  מקצועני  IT מודאגים מספקי שירותי ענן; 80% מהם חוששים שספקי שרותי הענן איתם הם עושים עסקים יהפכו למתחרים שלהם.

- אנשי ה-IT מודאגים מאבטחת ה-IP הארגוני יותר מאשר שלום הבית ומשפחתם.

- 75% מהמשתתפים במחקר רואים בענן הציבורי כבטוח יותר מהדאטה סנטרים שלהם, ובכל זאת 92% מהם סבורים שהארגון שלהם לא ערוך לאבטחת שירותי ענן ציבורי.

-  כמעט 80% מהם אומרים כי פרצות אבטחת המידע שקרו לאחרונה בארגונים אחרים הגבירו את התמקדות הארגון שלהם באבטחת מידע.

‍

גישות אבטחת המידע העדכניות גוררות את אנשי ה-IT למשחקי "חתול ועכבר"

אנשי ה-IT עושים שימוש במספר רב של מוצרי אבטחת מידע וסייבר שונים כדי לנסות ולתת מענה לצרכי אבטחת מידע, אך מוצאים עצמם בקרב מתיש, כיוון שמערכות אלו אינן מוגדרות כראוי בד"כ.

-  78% מהארגונים משתמשים ביותר מ-50 מוצרי אבטחת מיידע וסייבר שונים כדי לתת מענה לבעיות אבטחה; 37% משתמשים ביותר מ-100 מוצרי אבטחת מיידע וסייבר.

- ארגונים שבהם שירותי ענן הוגדרו בתצורה שגויה, (misconfigured)  חוו מעל ל-10 אירועים של איבוד מידע בשנה האחרונה.

- 59% מהארגונים מספרים  שעובדים בעלי חשבונות עם הרשאות לאישורים בענן חוו ממתקפת התחזות.

-  הטעויות הנפוצות ביותר בהגדרות היו ב:

-  חשבונות בעלי הרשאות מעבר לנדרש (37 אחוזים)

- חשיפה לאינטרנט של שרתים (35 אחוזים)

- חסר הזדהות מרובת אלמנטים (multi-factor authentication) במתן גישה לשירותים מרכזיים (33 אחוזים)

‍

העברת האחריות: גורם ליותר בלבול ויותר פריצות אבטחה

ארגונים מעבירים לענן עומסי עבודה קריטיים יותר מאי פעם, אבל הגידול בצריכת ענן יצר שטחים "עיוורים" כאשר צוותי IT וספקי שירותי ענן מנסים להבין את תחומי האחריות  של כל אחד מהם באבטחת המידע. בלבול זה יוצר משאיר את  צוותי IT להתמודד עם חשיפה לאיומי אבטחת מידע.

-  כמעט 90% מהחברות משתמשות בתוכנה כשירות (SaaS) וכ-76% משתמשות בתשתית כשירות (IaaS); מחציתן צפויות להעביר את כל הדאטה שלהן לענן בשנתיים הקרובות.

-  מודלים של 'אבטחה עם אחריות משותפת' גורמים לבלבול; רק 8% ממנהלי אבטחת המידע הצהירו כי הם מבינים היטב את מודל האבטחה המשותף.

- 70% מאנשי ה-IT חושבים שנדרשים יותר מדי כלים ייחודיים כדי לאבטח את פעילותם בענן הציבורי.

-  75% חוו אובדן דאטה משירות ענן יותר מפעם אחת.

‍

הגיע הזמן לבנות מודל של אבטחה-לפני-הכול

כדי להתמודד עם החשש הגובר בנושא אבטחת מידע ועם סוגיות של אמון, על ספקי שירותי ענן וצוותי ה-IT לעבוד יחדיו כדי לבנות תרבות של אבטחה-לפני-הכול (security-first culture). מודל זה כולל את שלב הגיוס, ההכשרה והשימור של אנשי מקצוע מיומנים בתחום אבטחת מידע, תוך שיפור מתמיד של תהליכים וטכנולוגיות במטרה לצמצם את האיומים בעולם הדיגיטלי המתרחב.

- 69% מהארגונים מדווחים כי מנהל אבטחת המידע הראשי (CISO) שלהם מגיב או מתערב בפרויקטים של ענן ציבורי רק לאחר שכבר התרחש אירוע סייבר.

-  73% מהארגונים מחזיקים או מתכננים לגייס מנהל אבטחת מידע ראשי (CISO) עם יותר מיומנויות אבטחה בענן; ולמעלה ממחצית מהארגונים (53 אחוזים) הוסיפו תפקיד חדש בשם "מנהל אבטחת מידע עסקי" (BISO) שיעבוד ביחד עם ה-CISO ויסייע להטמיע את תרבות האבטחה בחברה.

- 88% מאנשי ה-IT סבורים כי בשלוש השנים הקרובות, רוב הסביבות  שלהם בענן יכילו יכולות של תיקונים ועדכונים חכמים ואוטומטיים כדי לשפר את האבטחה.

- 87% מאנשי ה-IT מציינים שיכולות AI/ML הינם "יכולות חובה" במוצרי אבטחה חדשים שהם מתכננים לרכוש, על מנת להגן טוב יותר מפני מקרים כמו הונאה, תוכנות זדוניות ותצורות שגויות.

"בשנתיים האחרונות, העברת המידע החיוני לענן (lift-and-shift) נראתה כהבטחה גדולה, אך התיקונים טלאי-על-טלאי של כלי האבטחה והתהליכים כבר מזכירים את פרנקנשטיין והובילו לשורה של הגדרות שגויות ודליפת מידע. עם זאת, נעשתה התקדמות חיובית", אומר סטיב דאהב, סגן נשיא בכיר, ענן אורקל. "אימוץ כלים הממנפים אוטומציה חכמה שיסייעו בסגירת פער המיומנויות נמצאים במפת הדרכים של תקציבי ה-IT לעתיד הקרוב, וההנהלה הבכירה פועלת לאחד בשיטתיות את התחומים העסקיים השונים בארגון תחת התפיסה של "אבטחה לפני הכול" כתרבות ארגונית".

"בתגובה לסביבה המאתגרת כיום, חברות האיצו את תנועת עומסי העבודה שלהם והמידע הרגיש המשויך להם לכיוון הענן וזאת כדי לתמוך בדרך עבודה החדשה, ולייעל את מודלי העלויות. מהלך זה חושף חולשות אבטחה קיימות ויוצר סיכונים חדשים", כך אומר טוני בופומאנטה, מנהל משותף גלובלי וראש צוות ארה"ב בKPMG LLP's  שירותי אבטחת סייבר. "על מנת להצליח לנהל את רמת האיום המוגבר במציאות החדשה הזו, חיוני שמנהלי אבטחת מידע (CISOs) יישמו את האבטחה כחלק מאסטרטגיות התכנון של ההטמעה וההגירה לענן, תוך קשר מתמיד עם הפן העסקי".