יבמ חושפת את ממצאי הסקר השנתי של מנהלי אבטחת מידע בארגונים ל- 2013, המתמקד בשלושה תחומים מרכזיים המשפיעים על עבודת המנהלים האלה: תהליכים ושיטות עסקיות, בשלות הטכנולוגיה ויכולות מדידה והערכה. המחקר ממנף ומתעד את הידע והניסיון של מובילים בתחומי האבטחה, על מנת להציג מערכת כללים ושיטות להגדרת תפקיד מנהלי האבטחה ודפוסי העבודה שלהם.
עם התרחבות השימוש בטכנולוגיות דוגמת ענן מחשוב, ויישומי מובייל – נולדות הזדמנויות עסקיות חדשות ובצידן מופיעים איומים שלא היו מוכרים בעבר. כלים ואיומים מתוחכמים של פורצי מערכות, מציבים את מנהלי האבטחה הארגונית בעמדה אסטרטגית יותר מאי-פעם. מנהל אבטחה חייב להיות מוביל בעל שיעור קומה הן בצד הטכנולוגי והן בצד העסקי – ולהתמודד עם מגוון רחב של בעיות, תוך ניהול מערך טכנולוגי מורכב. על מנת לסייע למנהלי האבטחה להגן טוב יותר על ארגוניהם ולהבין את מעמדם ותפקידם במסגרת ההנהלה הבכירה ושאר בעלי התפקידים המרכיבים אותה, מזהה הסקר של יבמ שיטות ודפוסי התנהלות העשויים לתרום לביסוס מעמד מנהל האבטחה ולביצוע משימותיו.
שיטות הניהול העסקי עליהן מצביעים מנהלי האבטחה המרואיינים על ידי יבמ, מתמקדות בצורך בחזון עסקי, אסטרטגיה ומדיניות מקיפה בתחום ניהול הסיכונים, כמו-גם קשרים אפקטיביים המשפיעים על ביצועיהם. הבנת הנושאים המדאיגים את דרג הניהול הבכיר מהווה אף היא תנאי חיוני להצלחה. מנהלי אבטחה מנוסים יותר, נפגשים תכופות עם המנהלים הבכירים האחרים, על מנת לשפר את הקשרים במסגרת הארגון. המפגשים האלה, כוללים שיחות לזיהוי והערכת סיכונים (59%) פתרון בעיות תקציב (49%), ויישום טכנולוגיות (44%(. מנהלי האבטחה מתמודדים עם אתגר הניהול המוצלח של מכלול בעיות האבטחה בארגון.
הטכנולוגיה הולכת ומבשילה. מנהלי אבטחה מדרגים את תחום אבטחת המשתמשים ניידים כעדכון החדש ביותר במסגרת המערך עליו הם אמונים. כרבע ממנהלי האבטחה יישמו מערכות אבטחת משתמשים ניידים במהלך השנה האחרונה. למרות הדאגה הנמשכת לפרטיות ולאבטחה בסביבת ענן, 76% ממנהלי האבטחה יישמו כבר סוג כל שהוא של שירות אבטחה בענן. הפופולאריים ביותר מבין אלה הם שירותי ניטור ובקרת שימוש, ושירותי ניהול זהות והרשאות גישה. שתי הקטגוריות האלה יושמו על ידי 39% מהמשיבים.
במקביל להמשך תשומת הלב בתחומי ענן המחשוב והמובייל, ממקדים מנהלי אבטחה ארגונית את פעילותם בתחומים דוגמת ניהול זהות והרשאות גישה (51%), מניעת חדירה לרשת וסריקה לגילוי נקודות תורפה (39%), ואבטחת בסיסי נתונים (32%).
האתגר המרכזי בתחום המובייל הניצב בפני מנהלי אבטחה, נוגע להתקדמות מעבר לצעדים הראשוניים: צמצום העיסוק בטכנולוגיה בפני עצמה, לטובת ניהול מדיניות ואסטרטגיה כוללים. פחות מ- 40% מהארגונים יישמו מדיניות תגובה וטיפול ממוקד במכשירים הפרטיים של עובדיהם, או אסטרטגיה כלל ארגונית לעידן שזכה כבר לכינוי "הבא-איתך-את-המכשיר-הפרטי-שלך", BYOD. 39% מהמנהלים מכירים בקיומו של הפער הזה, ומתכננים להניח בשנה הקרובה יסודות לאסטרטגיית BYOD, ו- 27% מתכננים להגדיר מדיניות תגובה לאירועי אבטחה שמקורם במכשירים כאלה.
יכולות מדידה משמשות את מנהלי האבטחה ככלי להנחיית תהליכי התקצוב, ולניתוח השקעות בטכנולוגיה חדשה. במקרים מסוימים, משתמשים המנהלים בכלי המדידה על מנת להגדיר סדרי עדיפויות לארגון האבטחה בראשו הם עומדים, עם זאת, ככלל, המדידה הטכנית והעסקית מתמקדת עדיין בנושאים תפעוליים. כך, למשל, יותר מ- 90% מהמרואיינים עוקבים אחר מספר אירועי האבטחה, רשומות אבודות או גנובות, נתונים או מכשירים, ובקרה וסוגיות עמידה בהוראות חקיקה ותקינה – כולם מימדי ניתוח בסיסיים, הצפויים להיות תחת מעקב של המנהלים. מספר קטן ביותר, 12% בלבד מהמנהלים, מזינים את נתוני מדידת האבטחה אל תוך תהליך ניהול הסיכונים הארגוני שלהם. זאת, למרות שמנהלי האבטחה אומרים כי השפעת האבטחה על מכלול הסיכונים הארגוניים מוערכת כגורם המשפיע ביותר על הצלחתם.
עורכי המחקר אומרים כי התוצאות מצביעות על צורך ברור של מנהלי האבטחה להתמקד במציאת האיזון העדין בין פיתוח תפיסה כוללת ושלמה לאבטחה וניהול סיכונים, ובין יישום יכולות מתקדמות ואסטרטגיות יותר, דוגמת התמודדות עם עולם הניידות והמכשירים הפרטיים המגיעים למקום העבודה.