Conform datelor raportului, peste jumătate dintre respondenţi (56%) sunt de părere că organizaţiile lor au ocolit procesele de securitate cibernetică pentru a facilita implementarea noilor cerinţe legate de telemuncă şi de un regim de muncă flexibil. În acelaşi timp, liderii în securitate cibernetică declară că nu au fost niciodată mai preocupaţi ca acum de capacitatea lor de a gestiona ameninţările cibernetice (43%). Peste trei sferturi dintre aceştia (77% faţă de 59% conform ediţiei anterioare a GISS) avertizează în privinţa creşterii numărului de atacuri cibernetice cu impact puternic în ultimele 12 luni, cum ar fi cele de tip „ransomware”.

În pofida ameninţării tot mai mari a atacurilor cibernetice, bugetele pentru securitatea cibernetică rămân la un nivel redus în raport cu cheltuielile totale cu tehnologia informaţiei, potrivit ediţiei din acest an a GISS. Deşi organizaţiile respondenţilor au înregistrat venituri medii de 11 miliarde de USD în ultimul exerciţiu financiar, valoarea medie a cheltuielilor cu securitatea cibernetică a fost de doar 5,28 milioane de USD.

Aproape patru din zece respondenţi (38%) atrag atenţia că bugetul organizaţiei lor este sub nivelul necesar gestionării noilor provocări apărute în ultimele 12 luni. Acelaşi procent de respondenţi declară că cheltuielile cu securitatea cibernetică nu sunt integrate corespunzător în costul investiţiilor strategice, cum ar fi transformarea lanţului de aprovizionare IT. În acelaşi timp, mai bine de o treime (36%) spun că este doar o chestiune de timp până când organizaţia lor va suferi o breşă de securitate majoră care ar fi putut fi evitată, dacă ar fi existat investiţii de un nivel adecvat în mijloacele de apărare cibernetică.

Relaţiile esenţiale dintre liderii în securitate cibernetică şi cei care deţin poziţii importante în cadrul organizaţiei sunt lipsite de deschidere şi de forţă, potrivit ediţiei 2021 a raportului GISS.

41% dintre liderii în securitate cibernetică sondaţi au descris relaţia lor cu zona de marketing drept negativă, în timp ce 28% au menţionat că relaţia cu proprietarii companiei lasă de dorit. Drept urmare, în timp ce 36% dintre respondenţii din 2020 aveau convingerea că echipele de securitate cibernetică sunt consultate încă din faza de planificare a noilor iniţiative comerciale, acest procent a scăzut la 19% în 2021. Mai mult, doar 25% consideră că liderii de business ar descrie funcţia de securitate cibernetică a organizaţiei lor drept una comercială.

În contextul în care liderii de companii văd în tehnologie mijlocul prin care îşi pot realiza viziunea şi transforma compania, aceştia nu îşi pot permite să întoarcă spatele riscurilor cibernetice care vin la pachet cu aceste demersuri. Misiunea directorilor de securitate cibernetică va fi să se asigure că liderii de companii vor înţelege valoarea adusă de investiţiile în securitatea cibernetică şi vor conştientiza faptul că acestea reprezintă o parte integrantă a procesului de transformare.

Aspecte specifice pentru România

Investiţiile majore din ultimii 10 ani, care au avut loc în zona de IT din România, au dus la o uniformizare a practicilor şi procedurilor de lucru pe zona securităţii cibernetice specifice celor din vestul Europei şi SUA. Practica ultimelor luni a arătat că şi în cazul companiilor din România investiţiile în zona de apărare contra atacurilor informatice au crescut, chiar dacă per total nu ne aflăm la un nivel rezonabil de rezilienţă nici în mediul public şi nici în cel privat. Soluţiile antivirus rămân în continuare cel mai utilizat mijloc de protecţie, însă acest lucru s-a dovedit a fi insuficient dacă nu vine în completare cu alte soluţii. În plus, nu trebuie neglijată nici implementarea directivei NIS, transpusă în legislaţia din România prin legea nr. 362/2018. Noi acte normative şi regulamente adoptate în ultima perioadă conturează cadrul necesar implementării directivei NIS. Asemănător cu situaţia în care a fost implementată legislaţia GDPR, în viitorul apropiat vom asista la momentul în care şi normativele care vin în completarea legii 362/2018 vor fi finalizate. Acesta va însemna o bornă importantă la care companiile din România ar trebui să se gândească întrucât nerespectarea acestei legislaţii poate atrage după sine sancţiuni importante. Astfel, cu cât măsurile în zona apărării împotriva atacurilor informatice vor fi luate mai din timp, cu atât companiile se vor pune la adăpost atât de eventuale riscuri generate de expunerea la ameninţările cibernetice, dar şi de eventuale sancţiuni legislative.

Datele din raportul GISS din acest an se bazează pe un sondaj în rândul liderilor în securitate cibernetică (Chief Information Security Officer sau CISO) şi alţi membri ai consiliilor de administraţie din 1.010 organizaţii, derulat în perioada martie - mai 2021. CISO şi alţi membri ai conducerilor executive superioare au reprezentat 50% dintre respondenţi; restul respondenţilor au fost profesionişti în domeniul securităţii cibernetice de nivel C-1.

Acesta a fost un sondaj global, în care 43% dintre respondenţi au provenit din regiunea Europa, Orientul Mijlociu, India şi Africa (EMEIA), 36% din America de Nord şi de Sud şi 20% din regiunea Asia-Pacific. Printre respondenţi s-au numărat persoane cu funcţii de CISO sau poziţii echivalente din sectoarele serviciilor financiare, produselor de consum şi comerţului cu amănuntul, sănătăţii şi bioştiinţelor, energiei, sectorul public şi al tehnologiei şi sectorul media şi divertisment şi telecomunicaţii. Fiecare companie inclusă în datele aferente acestui raport a înregistrat venituri anuale mai mari de 1 miliard de dolari.

Comparaţiile punctuale ale rezultatelor ediţiilor 2020 şi 2021 s-au făcut pe baza unor eşantioane similare de la un an la altul. Companiile cu venituri anuale mai mici de 1 miliard de dolari au fost incluse în 2020, dar nu şi în 2021.