Computerworld News Service: De risici og trusler, som virksomhederne står over for, bliver stadigt mere sofistikerede, og når risikoen er øget, kunne man håbe på, at virksomhederne samtidig er blevet mere strategiske i deres måde at håndtere udfordringerne.
Men sådan er det desværre ikke, kan man læse i årets Global Information Security Survey, som er gennemført af magasinerne CSO og CIO i samarbejde med PricewaterhouseCoopers.
Mere end 9.600 forretninger og teknologi-ledere fra hele verden har deltaget i undersøgelsen.
43 procent mener, at netop deres organisation er i front på sikkerhedsområdet.
Men ifølge undersøgelsen overvejer bare 11 procent at gøre fokus på data-beskyttelse til en "topprioritet".
Samme antal eller mindre prioriterer governance og compliance (10 procent) og investeringer i sikkerhed med udgangspunkt i risici (otte procent).
De samme respondenter øger ifølge undersøgelsen deres investeringer i defensive teknologier som firewalls, sporing af indtrængere, anti-malware og andet.
I en nøddeskal betyder det, at virksomhederne investerer i sikkerhedsværktøjer og produkter - men de prioriterer ikke investeringerne eller skyder penge i interne processer, der kan sikre, at sikkerheden rent faktisk fungerer.
"Lige præcis det ser vi alt for tit," siger Robbie Higgins, der er vice president of security services hos løsningsudbyderen GlassHouse Technologies.
Derfor går det galt
"Virksomhederne kan nemt forsvare at investere i hardware og software. Når man ser nærmere efter, så har de alle de rigtige teknologier - alle dem som Gartner ville placere i det øverste, højre kvadrat. Alligevel sker det alt for ofte, at sikkerhedskontrollerne er for svage."
"Man kan se på data på to måder," siger Daniel Kennedy, der er leder for informationsteknologi og netværk hos analysefirmaet.
"Man kan jo vælge at glæde sig over, at virksomhederne har tiltro til deres egen sikkerhed og tro på, at de nok har grund til det," siger han.
Men jeg spekulerer nu mere på, om det kunne handle om Dunning-Krueger-effekten, hvor inkompetente mennesker tager forkerte beslutninger, men aldrig bliver bevidste om deres egne manglende evner," fortæller han.
I sidste ende kan det betyde, at organisationer investerer i teknologi uden samtidig at sørge for at have de nødvendige folk og processer på plads, og dermed sætter de sig selv i en risikabel situation.
"De har alle de her værktøjer, men spørgsmålet er, om de har planlagt implementeringen i forhold til truslerne i miljøet? Har de designet infrastrukturen på en måde, hvor de får de rigtige kontroller på plads til at beskytte mod trusler?" spørger Robbie Higgins.
"Nu sidder de med en falsk tryghedsfornemmelse, og risikoen bliver endnu større, fordi de tror, at de har gjort det rigtige og købt alle de rigtige teknologier."
Oversat af Marie Dyekjær Eriksen