Nuvarande struktur för IT-säkerhet speglar organisationens utmaningar

Företag och organisationer globalt är medvetna om att cyberattacker blir allt mer avancerade och är bekymrade över konsekvenserna, men hela 88 procent anser inte att deras nuvarande struktur för IT-säkerhet speglar organisationens utmaningar. Mer än en tredjedel tror inte att deras organisation skulle upptäcka ett avancerat cyberangrepp idag. Detta visar EY:s senaste Global Information Security Survey 2015.

Revisions- och rådgivningsföretaget EY har tillfrågat 1755 beslutsfattare i organisationer och företag i 67 länder kring deras syn på cyberbrottslighet och IT-säkerhet. Svaren presenteras nu i EY:s årliga Global Information Security Survey 2015.

I tidigare undersökningar har respondenterna pekat på att medvetet eller omedvetet informationsläckage från medarbetare orsakar de flesta cyberangreppen. I årets undersökning uppger 44 procent detta som den vanligaste orsaken, jämfört med 57 procent 2014. Initiativtagare till attackerna anses nu främst vara externa aktörer såsom kriminella nätverk (59 procent), cyberaktivister (54 procent) eller grupper understödda av främmande stater (35 procent). Phishing och skadlig mjukvara rankas av respondenterna som de främsta hoten, 44 procent respektive 43 procent. Båda har ökat något sedan 2014, då 39 procent uppgav phishing och 34 procent skadlig mjukvara.cyberatack

Rapporten tecknar en bild av en ombytlig cyberbrottslighet som i många fall är mycket svår att hålla jämna steg med och upptäcka. Mer än en tredjedel av de tillfrågade organisationerna (36 procent) i årets undersökning tror inte att deras organisation skulle upptäcka en sofistikerad cyberattack idag.

– Digitalisering, mobilitet och ett stort ekosystem av till exempel kunder, samarbetspartner och underleverantörer är idag en förutsättning för moderna verksamheter. Detta innebär en ökad integration av system, ett ökat utbyte av data och att känslig information finns tillgänglig överallt från flera olika mobila enheter. Allt som vi kan sätta ett chip i och ge en IP-adress, och det kan vara bilar och kylskåp till fläktsystem och övervakningskameror, öppnar nya dörrar för ett potentiellt angrepp och sätter mycket stor press på informationssäkerheten, säger Unai Viguri, rådgivare inom IT-säkerhet, EY Sverige.

En övervägande majoritet av respondenterna, 88 procent, anser inte att deras övergripande struktur för IT-säkerhet möter verksamhetens behov och 69 procent uppskattar att budgeten för IT-säkerhet borde fördubblas för att säkerställa detta. 57 procent menar att ett stort problem är bristen på kompetent personal för informationssäkerhet, utveckling och underhåll. I förra årets undersökning var motsvarande siffra 53 procent, vilket visar på en negativ trend. 54 procent uppger att de saknar ett dedikerat team som ansvarar för att analysera ny teknik och vilken påverkan denna får för verksamheten. 47 procent säger att deras verksamhet helt saknar ett security operations center (SOC) och 36 procent att de idag inte använder programvara för att upptäcka hot.

– Det är inte längre en fråga om verksamheter blir utsatta för angrepp eller inte och det finns mycket kvar att göra. Företagen har helt enkelt inte råd att förbise eller underskatta dessa potentiella risker och det enda sättet att lyckas i den digitala världen är att på ett effektivt sätt skydda sig själva, sina kunder och därmed skapa förtroende för varumärket. Vi ser att de verksamheter som ligger i framkant med IT-säkerhet arbetar med vad vi kallar ett ”aktivt försvar”. Hela organisationen prioriterar då beredskap för cyberattacker och de har ett avancerat SOC som identifierar nya hotscenarier, ibland de mest långsökta, och stresstestar styrmodeller och reaktionstid innan skadan är skedd, säger Unai Viguri.

  • EY:s checklista för ett ”aktivt försvar”:
  • Kartlägg vem som kan vara intresserad av att skada organisationen och på vilket sätt.
  • Definiera verksamhetens kronjuveler, de kritiska tillgångarna.
  • Analysera sårbarheten hos organisationen och vilka potentiella ingångar som finns, t ex via ett lönesystem, en luftkonditioneringsanläggning, anställda som har access…
  • Ta fram scenarios som målar en korrekt bild av hur olika attacker skulle kunna utvecklas.
  • Förankra organisationens nivå för riskbenägenhet hos styrelse och ledande beslutsfattare i organisationen.
  • Kartlägg nuvarande beredskap och ta fram en plan och budget för vad som skulle krävas för att möta organisationens behov utifrån definierad riskbenägenhet.
  • Ta fram en skräddarsydd strategi och aktiviteter som stödjer profilering, övervakning och hantering av potentiell cyberbrottslighet.
  • Se över om det krävs ett mer avancerat SOC: in-house eller outsourcad.

Post Comment