דוח מצב אבטחת המידע: 11 נתונים סטטיסטיים ומגמות מרכזיות בתעשיית ה-IT וה-MSP

האחרון של IO דוח מצב אבטחת מידע מדגיש תעשייה שהיא גם הכרחית לכלכלה הדיגיטלית וגם חשופה באופן ייחודי לסיכונים. ספקי IT וארגוני MSP נמצאים בלב שרשראות אספקה ​​מקושרות, מנהלים סביבות לקוחות מורכבות ומאמצים טכנולוגיות מתפתחות במהירות. ממצאי השנה חושפים כיצד לחצים אלה מעצבים מחדש את סדרי העדיפויות האבטחתיים שלהם, ומדוע רבים מעריכים מחדש את אופן מבנה הממשל, התאימות והחוסן שלהם.

בין המשיבים שלנו נמנו מנהיגים בכירים בתחום הסייבר ברחבי בריטניה וארה"ב. תובנותיהם חושפות את האיומים הדחופים ביותר העומדים בפני המגזר כיום, את האתגרים התפעוליים המעצבים את עבודת האבטחה היומיומית ואת הכיוון האסטרטגי שארגונים נוקטים בו כדי לחזק את החוסן.

להלן, נפרט 11 נתונים סטטיסטיים מרכזיים שכל מנהיג IT ו-MSP צריך להבין מהדוח של השנה.

סטטיסטיקות מפתח של אבטחת מידע עבור מגזר ה-IT וה-MSP

ממשל ואסטרטגיה

1. 50% אומרים שההנהלה הבכירה עדיין מתייחסת לתאימות אבטחת מידע כאל מחשבה שלאחר מעשה.
2. 67% אומרים שהמהירות והיקף השינויים הרגולטוריים מקשים יותר ויותר על עמידה בתקנות.

מיומנויות, קיבולת ולחץ תפעולי

3. 42% מציינים את פער המיומנויות באבטחת מידע כאתגר מרכזי.
4. 34% מדווחים על שחיקה בצוותי אבטחת מידע ותאימות עקב עומס עבודה הולך וגובר.
5. 41% אומרים שמשימות מוחלפות על ידי בינה מלאכותית ללא פיקוח אנושי מתאים כדי להבטיח עמידה בדרישות.

פיצול ואתגרי תהליכים

6. 38% מתקשים עם התפשטות הטכנולוגיה, ו-24% אומרים שמאמצי אבטחה מבודדים הם בעיה מרכזית.
7. 44% אומרים ש-Shadow IT הוא כיום טעות האבטחה הנפוצה ביותר בקרב עובדים.

ביצוע ותוצאות של ציות

8. רק 35% מרגישים מצוידים במלואם לנהל את תאימות ה-GDPR, NIS 2 ו-DORA באופן פנימי.
9. 74% מהארגונים קיבלו לפחות קנס רגולטורי אחד ב-12 החודשים האחרונים.
10. שיפור באיכות החלטות עסקיות (46%) ושימור לקוחות (44%) הם החזר ההשקעה (ROI) המוביל מתאימות אבטחת מידע.

סיכון עסקי והשפעה

11. 66% הושפעו מאירועים של צד שלישי, עם השלכות הנעות בין הפסד כספי (36%) לשיבוש תפעולי (34%) ובקרה רגולטורית (33%).

אבטחת צד שלישי ואבטחת שרשרת אספקה

מעט מגזרים חשים את השפעות הפגיעה בשרשרת האספקה ​​בצורה חדה כמו ארגוני IT ו-MSP, במיוחד אלו המוטמעים ישירות בתשתית של לקוחותיהם. הממצא לפיו 66% חוו אירוע אבטחה שמקורו בצד שלישי או ספק מדגיש עד כמה המערכת האקולוגית הפכה להיות תלויה הדדית. אירועים אלה לעיתים רחוקות נשארים מרוסנים: המשיבים דיווחו על הפסדים כספיים, בדיקה מצד רגולטורים, שיבושים תפעוליים והפסקות שירות מול לקוחות כתוצאה מכשלים של ספקים.

תלות גוברת זו מסבירה מדוע 80% חיזקו את ניהול הסיכונים שלהם עם צד שלישי בשנה האחרונה. עבור רבים, המעבר הוא מבדיקת נאותות תגובתית לגישה רציפה יותר, מבוססת ראיות: ניטור, אימות ותיעוד של בקרות שותפים באופן שוטף. העסקים הנמצאים בסיכון הגבוה ביותר הם אלו המסתמכים על תהליכים מקוטעים או ממשל לא עקבי, דווקא כאשר נוהלי ציות מובנים וחוזרים עושים הבדל מדיד.

נוף האיום המשתנה

בעוד שאיומים מוכרים עדיין שולטים בעומסי עבודה בתחום האבטחה, המגזר חווה עלייה חדה בהתקפות מבוססות בינה מלאכותית וממוקדות בינה מלאכותית. הנתון הבולט הוא ש-41% מדווחים על בינה מלאכותית שמחליפה משימות ללא פיקוח אנושי מספק, דבר הממחיש, בשילוב עם 27% שחווים הרעלת נתונים, עד כמה מהר ארגונים יכולים לאבד את הנראות של שלמות התהליכים כאשר טכנולוגיות מתפתחות עוקפות את הממשל.

במקביל, נתוני האירועים נותרים גבוהים באופן עקבי בכל התחומים:

• 32% חוו פרצות אבטחה
• 29% נפגעו מפריצות לענן
• 31% דיווחו על הדבקות בתוכנות זדוניות
• 22% חוו איומים מבפנים

בנוסף לכך, מתווספת העלייה המתמשכת בהנדסה חברתית, מניפולציה של מערכות אימות והתקפות מרובות וקטורים המשלבות הטעיה טכנית ואנושית. עבור סביבות IT ו-MSP, שבהן סט יחיד של אישורים עשוי לפתוח גישה לרשתות מרובות של לקוחות, אפילו כשלים קטנים עלולים להיות בעלי השלכות מרחיקות לכת, סיכון המתעצם כאשר IT צללים (מדווח על ידי 44%) הופך לחלק מזרימות העבודה היומיומיות.

מיומנויות, שחיקה ועומס תפעולי

הדו"ח חושף גם מגזר המתמודד עם אילוצי משאבים ואתגרי קיבולת מבניים. 42% המציינים את פער המיומנויות בתחום אבטחת הסייבר מייצגים תעשייה שבה הביקוש למומחיות עולה על ההיצע, במיוחד בתחומים כמו אבטחת ענן, אבטחת בינה מלאכותית ותאימות.

אך לא מדובר רק במיומנויות. 34% המדווחים על שחיקה בצוותי אבטחת המידע והתאימות שלהם משקפים ציפיות גוברות ללא עלייה מקבילה במספר העובדים, בכלים או בתקציב. משיבים רבים תיארו עומסי עבודה שהתרחבו לצד טכנולוגיות חדשות, תקנות חדשות ותלות גדולה יותר במעלה ובמורד הזרם.

לחץ זה מתעצם עקב התפשטות טכנולוגית, שצוינה על ידי 38% כאתגר מרכזי, וצוותים מבודדים (24%), היוצרים מאמץ כפול, תהליכים לא עקביים והסתמכות גדולה יותר על מעשי גבורה של יחידים. ככל שצוותי אבטחה מלהטטים בין כלים מרובים, לוחות מחוונים חופפים וזרימות עבודה לא מחוברות, קשה יותר לשמור על מקור אמת יחיד, להבטיח עקבות ראיות ולשמור על יישור שיטות ניהול.

לחץ רגולטורי ומורכבות תאימות

הרגולציה מתפתחת מהר יותר ממה שארגונים רבים יכולים להסתגל אליו. השנה, 67% אמרו שהמהירות וההיקף של שינויי הרגולציה מקשים על הציות, מדד משמעותי למהירות שבה הדרישות סביב הגנת נתונים, ניהול בינה מלאכותית, חוסן תפעולי ואבטחת שרשרת האספקה ​​מתרחבות.

הנתונים מראים גם שארגונים אינם מוכנים באותה מידה. רק 35% חשים שהם מסוגלים לנהל באופן מלא GDPR, 2 שקלים ו דורה ציות פנימי. רובם זקוקים לתמיכה חיצונית, מתקשים עם מומחיות מוגבלת, או חסרים את הזמן והגיבוי הדרושים לדירקטוריון כדי לעמוד בהתחייבויות.

פער יכולות זה בא לידי ביטוי בתוצאות: 74% מהארגונים קיבלו לפחות קנס רגולטורי אחד ב-12 החודשים האחרונים, כולל קנסות משמעותיים בגין הפרות, אובדן נתונים ובקרות לא מספקות.

מה שעולה מהנתונים הוא תמונה של ארגונים המנסים לציית לתקנות, אך לעתים קרובות עושים זאת באמצעות גישות ידניות, לא עקביות או מבודדות שקשה להרחיב אותן.

עם זאת, הנתונים מראים גם שכאשר ארגונים עומדים בדרישות בצורה נכונה, היתרונות משמעותיים. המשיבים זיהו שיפור באיכות ההחלטות העסקיות (46%) ושימור לקוחות (44%) כתשואות המובילות על תאימות חזקה לאבטחת מידע. זה מדגיש שינוי באופן שבו מנהיגי IT ו-MSP רואים ממשל: לא כחובה, אלא כיתרון אסטרטגי כאשר הוא מבוצע באופן עקבי.

התנהגות עובדים וסיכונים פנימיים

תרבות האבטחה נותרה אתגר משמעותי. מערכות מידע צלליות (Shadow IT) הן טעות העובדים המדווחת הנפוצה ביותר (44%), ואחריהן במידת הצורך. שימוש לא מאושר בכלי בינה מלאכותית יצירתיים (38%) ונהלים לא מאובטחים של מכשירים או רשתות.

התנהגויות אלו מצביעות על בעיה רחבה יותר: כאשר תהליכים אינם ברורים, עקביים או משולבים בזרימות עבודה יומיומיות, עובדים ממלאים את הפערים בכלים ושיטות שמציגים סיכון חדש. זה מסוכן במיוחד במסגרות IT ו-MSP שבהן לעובדים יש לעתים קרובות גישה מועדפת למערכות לקוחות או לנתונים רגישים.

האתגר, אם כן, אינו רק הכשרה, אלא ציוד הצוותים בתהליכים חלקים ומובנים היטב שהופכים את הדרך הבטוחה לדרך הקלה.

מנהיגות וכיוון אסטרטגי

אחד הממצאים המעודדים יותר מהדו"ח הוא ש-87% אומרים שלארגון שלהם יש אסטרטגיית אבטחה ברורה ומוגדרת היטב, ו-88% מאמינים שלכל עסק צריך להיות מישהו שאחראי על אבטחת המידע ברמת הדירקטוריון. שינוי זה לכיוון מעורבות הנהלה מצביע על הבנה מתבגרת של סיכוני סייבר כסוגיה אסטרטגית, ולא רק טכנית.

עם זאת, התקדמות זו צמודה לממצא לפיו 50% עדיין חשים שההנהלה הבכירה מתייחסת לעמידה בדרישות כאל מחשבה שלאחר מעשה, דבר שחושף פער בולט בין כוונה אסטרטגית לקביעת סדרי עדיפויות יומיומיים.

עבור ארגונים שכבר מוגבלים עקב מחסור במיומנויות, סיכונים תפעוליים וביקוש רגולטורי, חוסר יישור זה עלול להיות בעל השלכות של ממש. ההנהגה מאותתת מה נראה "טוב", ובלי איתותים עקביים, הצוותים נותרים למלא את הפערים.

להישאר צעד אחד קדימה באמצעות חוסן מובנה

מגזר ה-IT וה-MSP מנווט בסביבה שבה הסיכונים הולכים ומתרבים, הציפיות גוברות והקיבולת הפנימית נמצאת תחת לחץ. עם זאת, כיוון התנועה ברור: ארגונים משקיעים בחוסן, מחזקים את הפיקוח על שרשרת האספקה ​​ושמים דגש רב יותר על ממשל אסטרטגי ויישור מנהיגות.

האתגרים המודגשים בדו"ח, החל מהתפשטות טכנולוגית ועד מחסור במיומנויות, מ-IT צללים ועד קנסות רגולטוריים, אינם סוגיות בודדות. הם אינדיקטורים למערכת אקולוגית שגדלה מעל תהליכים ידניים וכלים מקוטעים. הארגונים הממוקמים בצורה הטובה ביותר ב-12 החודשים הקרובים יהיו אלו שמאמצים מערכות משולבות, ניתנות לחזרה, כלל-ארגוניות התומכות בעקביות בין אנשים, תהליכים וטכנולוגיה.

על ידי הטמעת גישות חזקות, כלל-ארגוניות, לאבטחת מידע ותאימות, עסקים יכולים להפחית סיכונים, לחזק את אמון הלקוחות וליצור בסיס יציב יותר לחדשנות בנוף שהופך בלתי צפוי.

קראו את דוח מצב אבטחת המידע המלא כאן.