Wydatki na cybersecurity w instytucjach finansowych w tym roku wyniosą prawie 11 proc. budżetu IT wobec 10,1 proc. w 2019 r. – według badania Deloitte Cyber & Strategic Risk Services CISO i FS-ISAC.

Ponad połowę nakładów stanowią wydatki związane z zarządzaniem prawami dostępu i tożsamości, monitoringiem bezpieczeństwa i operacji w cyberprzestrzeni oraz bezpieczeństwem punktów końcowych.

Prezesi zainteresowani bezpieczeństwem

Rosnące nakłady idą w parze z zaangażowaniem liderów firm – w ciągu 3 ostatnich lat zwiększyło się zainteresowanie tematem cybersecurity w kierownictwie najwyższego szczebla instytucji finansowych. Prawie wszyscy respondenci (95 proc.) twierdzą, że zarząd coraz bardziej interesuje się strategią bezpieczeństwa. To duży wzrost w porównaniu do 86 proc. w 2018 r. i 76 proc. w 2019 r.

Dziewięciu na dziesięciu ankietowanych twierdzi, że kadry kierownicze większą uwagę zwracają na przegląd obszarów ryzyka i zagrożeń (wzrost o 16 pp. r/r).

W instytucjach finansowych duże zainteresowanie budzą również postępy prac w ramach programów – taką odpowiedź wskazało 70 proc. przedstawicieli tej branży. Liderów najmniej zajmuje przegląd zadań związanych z bezpieczeństwem (25 proc.), chociaż i tutaj zanotowano wzrost (18 proc. w 2018 r. i 14 proc. w 2019 r.).

Sposób na lepszą ochronę: cybersecurity ściśle powiązane z IT

Wiele firm finansowych wiąże programy bezpieczeństwa cyfrowego z inicjatywami IT, aby w ten sposób ograniczać zagrożenia. Znalazło to odzwierciedlenie w zarządzaniu ryzykiem – w 56 proc. przedsiębiorstw bezpieczeństwo cybernetyczne stanowi część pionu informatycznego.

Niespełna jedna czwarta wskazała, że działy IT i cyberbezpieczeństwa są rozdzielone, ale mają wspólne ścieżki raportowania, a 22 proc. deklaruje, że są całkowicie odseparowane.

Tylko co dziesiąty respondent odpowiedział, że pracownicy odpowiedzialni za kwestie informatyczne i bezpieczeństwa w sieci mają analogiczne obowiązki, jeśli chodzi o działania zapobiegające zagrożeniom. To duży spadek w stosunku do pierwszej edycji badania, kiedy o takim połączeniu mówiło 28 proc. instytucji finansowych.

„Dzięki bezpośredniemu powiązaniu bezpieczeństwa cybernetycznego z pionem informatycznym, instytucje finansowe potencjalnie są lepiej przygotowane do przeciwdziałania zagrożeniom. Z organizacyjnego punktu widzenia należy jednak wyraźnie rozgraniczyć funkcje technologiczne od stricte związanych z cybersecurity. Jeśli bezpieczeństwo cybernetyczne będzie stanowić domenę działu IT, istnieje ryzyko, że kwestie zapobiegania zagrożeniom nie będą wystarczająco widoczne. Może zatem pojawić się problem osiągania doraźnych celów projektowych takich jak czas i budżet kosztem ich bezpieczeństwa” – mówi Adam Rafajeński, dyrektor cyber practice w Deloitte.

Jak współpracować bez zgrzytów

Firma doradcza zapytała również, w jaki sposób specjaliści ds. cyberbezpieczeństwa mogą utrzymać swoją niezależność w ramach jednostek IT. Oto wnioski z odpowiedzi ankietowanych.

Po pierwsze, działy cybersecurity powinny zachować autonomię przy podejmowaniu decyzji dotyczących zarządzania ryzykiem.

Po drugie, należy powiązać działalność firmy z bezpieczeństwem cybernetycznym. Dzięki temu można dostosowywać programy ochrony IT do planów biznesowych.

Ważne jest też zaangażowanie zarządu w obszarze ryzyka ataków i nadanie mu wysokiego priorytetu.