Securitatea informațiilor a devenit o arie vitală într-o lume conectată unde toate dispozitivele sunt conectate la internet și baze de date, crescând astfel potențialul unor atacuri cu pagube importante, securizarea acestora fiind o provocare.
Pentru a face față provocărilor de securitate, în Marea Britanie a fost lansată Strategia Națională de Securitate Cibernetică, menită să ajute companiile să înțeleagă riscul în cazul unor atacuri asupra sistemelor informatice. În era digitală complexitatea sistemelor este deschisă de cloud, aplicații mobile, porți pentru plăți, porți către centre de date, toate accesibile atacatorilor chiar prin deschiderea unui simplu email infectat. Experții în securitate au un rol esențial în atenționarea și pregătirea companiilor pentru a evita astfel de atacuri, dar aceștia uneori nu sunt siguri că sunt ascultați, doar 37% fiind de părere că riscul atacurilor este redus după intervenția lor. Principala problemă vine tot din zona financiară, existând constant conflicte între managerii companiilor și managerii IT, în special din cauza neînțelegerilor asupra bugetelor alocate pentru securitate, uneori considerate exagerate și fals inutile de către managerii companiilor.
Conducătorii companiilor nu sunt interesați de investiții atunci când este vorba de ceva ce nu aduce profit, dar indirect, securitatea sistemelor IT poate duce și la profit dar mai ales la pierderi în cazul unor atacuri. Asigurarea cibernetică este o achiziție clar necesară pentru orice companie conform experților. Lipsa interesului pentru investiția în securitatea cibernetica din partea companiilor vine și din cauza refuzului conducerii de a vedea ca un risc posibil orice atac, principiul ”nu mi se întâmplă mie” fiind destul de aplicat și în această zonă. Experții spun că simularea unor riscuri pentru fiecare companie în parte poate fi un început în convingerea conducerii despre importanța securității cibernetice. Ultimul mod, cel mai dur, de a prezenta vulnerabilitățile in fata conducerii, este chiar simularea unui atac la nivel de conducere, printr-un email infectat, care să simuleze un atac real, care să meargă (controlat) până la nivel de servicii ale companiei.
Experții de la Informațion Security Forum (ISF) spun că informarea asupra riscurilor de securitate în cadrul companiilor trebuie realizată pentru toți angajații și cei care au acces la zona IT, oamenii fiind principalul risc de securitate prin utilizarea unor aplicații neautorizate sau prin deschiderea de email-uri și documente posibil infectate. O mare parte din deciziile oamenilor pot evita sau din contra pot da startul unui atac devastator asupra bazelor de date și sistemelor informatice din cadrul companiilor. Experții ISF spun că investițiile în cultura securității cibernetice trebuie să intre la investițiile de formare a personalului, încă de la primele etape de recrutare în cadrul companiei. În Marea Britanie, pentru anul 2016, doar 20% din companii au oferit cursuri de securitate cibernetică pentru angajați, unde deciziile acestora au fost net superioare față de cele ale angajaților care nu au asemenea cursuri. De asemenea, experții consideră că standarde precum ISO/IEC 27002 și Standardul ISF pentru bune practici în securitatea informațiilor, trebuie să fie parte în creșterea securității din afaceri.