Rośnie świadomość zagrożeń, choć możliwość sprostania im zmniejsza się na przestrzeni ostatnich lat.
Według badania „Globalny stan bezpieczeństwa informacji 2012” prawie 3/4 respondentów na świecie uważa, że działania zapewniające bezpieczeństwo informacji w ich organizacjach są skuteczne. Co ważne, odsetek osób przekonanych o efektywności stosowanych rozwiązań zmniejszył się jednak aż o 12 punktów procentowych w stosunku do roku 2006. Prawie połowa europejskich respondentów wskazuje, że – przy rosnącym poziomie ryzyka – zapewnienie bezpieczeństwa staje się coraz trudniejsze ze względu na niewystarczające środki finansowe.
Badanie zostało przeprowadzone przez PwC we współpracy z magazynami CIO i CSO. W corocznej ankiecie udział wzięło ponad 9600 dyrektorów ds. bezpieczeństwa z 138 krajów, w tym z Polski.
Prawie połowa ankietowanych firm uważa, że spełnia jednocześnie dwa ważne kryteria skuteczności w obszarze bezpieczeństwa, czyli zarówno posiada kompleksową strategię ochrony informacji, jak i aktywnie ją realizuje. W prawie 30% organizacji panuje przekonanie, że lepiej radzi sobie ze stworzeniem strategii niż jej wypełnianiem, podczas gdy w 15% odwrotnie – skoncentrowano się w nich na aktywnym przeciwdziałaniu zagrożeniom, wykazując mniej konsekwencji w pracach nad strategicznym podejściem do bezpieczeństwa. Do biernego reagowania na pojawiające się zagrożenia – rezygnując z podejścia strategicznego – ogranicza się aż 14% respondentów.
Przy zaostrzonych kryteriach oraz założeniu, że liderem jest przedsiębiorstwo, które jednocześnie:
• stosuje w praktyce kompleksową strategię bezpieczeństwa informacji,
• korzysta z CISO lub jego odpowiednika, który raportuje bezpośrednio do zarządu,
• wdrożyło w praktyce proces okresowego pomiaru skuteczności i przeglądu polityki bezpieczeństwa,
• rozumie naturę naruszeń bezpieczeństwa, z jakimi ma styczność.
Jedynie 13% spośród respondentów zakwalifikowało się do ścisłej czołówki. „Dzięki znacznie szerszemu stosowaniu dostępnych mechanizmów obrony przed zagrożeniami, rejestrują oni około połowę mniej incydentów niż całość populacji. Nie dziwi więc, że aż 93% z tych firm uważa swoje działania w zakresie bezpieczeństwa za skuteczne” – podkreśla Jeremi Gryka, wicedyrektor w zespole ds. systemów i kontroli wewnętrznej PwC.
Najwięcej liderów odnotowano w branżach nowych technologii (15%), produkcji przemysłowej (13%), usług finansowych (10%), najmniej – w ochronie zdrowia, agendach rządowych, sektorze energetycznym i mediów (po 4%) oraz przemyśle lotniczym i obrony narodowej (2%).
Jak wynika z badania, rośnie świadomość istniejących zagrożeń – w tym roku już ponad 80% respondentów na świecie potrafiło udzielić konkretnych informacji na temat częstotliwości, rodzaju i źródeł naruszeń bezpieczeństwa, jakich doświadczyła ich organizacja.
„Jest to ogromny postęp, gdyż zaledwie kilka lat temu blisko połowa respondentów nie umiała odpowiedzieć na najbardziej podstawowe pytania dotyczące charakteru naruszeń bezpieczeństwa” – podkreśla Jeremi Gryka. Największy wzrost wiedzy nt. naruszeń bezpieczeństwa widoczny jest obecnie w branżach lotniczej i obrony narodowej, usług finansowych, technologii, telekomunikacji oraz w sektorze publicznym.
„Jeśli organizacje utrzymają zachowawczą postawę w kwestii inwestowania w bezpieczeństwo, będą coraz słabiej przygotowane, aby skutecznie stawić czoło pojawiającym się nowym zagrożeniom” – zauważa Jeremi Gryka. „W Europie niewiele ponad połowa ankietowanych przedsiębiorstw posiada całościową strategię bezpieczeństwa, jeszcze mniej zatrudnia osobę dedykowaną do tego obszaru, raportującą na poziomie zarządu czy w sposób scentralizowany zarządza bezpieczeństwem informacji”.
Główne źródła zagrożeń
Najistotniejsze źródło zagrożeń firmy nadal widzą w obecnych lub byłych pracownikach. Jednak coraz większą wagę respondenci przywiązują do innej klasy „insiderów”: 17% ankietowanych wskazuje jako kluczowe źródła ryzyka klientów, a 15% – partnerów biznesowych i dostawców (w zeszłym roku odpowiednio 12% i 11%).
„Wynika to w dużej mierze z coraz większego otwarcia biznesu na dostęp do informacji z zewnątrz, ale bez wątpienia jest i drugi czynnik – równolegle z otwarciem na dostawców postępuje liberalizacja w zakresie podstawowych środków bezpieczeństwa, które powinny stanowić pierwszą linię obrony” – stwierdza Jeremi Gryka. Przykładowo, w Europie w ciągu ostatnich dwóch lat odsetek firm, które wymagają, aby dostawcy dostosowali polityki bezpieczeństwa do ich wymagań, spadł z 31% do alarmujących 22%. Co więcej, już tylko 18% firm utrzymuje zestawienia wszystkich dostawców przetwarzających dane osobowe klientów lub pracowników.
Wraz z rosnącą popularnością „chmur obliczeniowych” (cloud computing) – stosowanych w różnych formach już przez 2/5 ankietowanych na świecie – organizacje stawiają sobie pytanie o wpływ „chmury” na bezpieczeństwo. Większość ankietowanych (54%) jest zdania, że cloud computing poprawia bezpieczeństwo, podczas gdy 23% uważa, że zwiększyła podatność na ataki. Jako najważniejsze ryzyko związane z przetwarzaniem w chmurze respondenci wskazują ograniczone możliwości wyegzekwowania stosowania polityki bezpieczeństwa u dostawców chmury.
„Biorąc pod uwagę jednoczesny wzrost znaczenia dostawców jako potencjalnego źródła naruszeń i rosnącą popularność rozwiązań outsourcingowych, należałoby się spodziewać, że zmieni się również podejście przedsiębiorstw do współpracy z dostawcami w obszarze bezpieczeństwa. Niestety, z możliwości zapewnienia sobie komfortu i stosowania dostępnych metod sprawdzenia, na ile dany dostawca chroni wrażliwe informacje, w ostatnim okresie korzysta coraz mniej firm. Problem ten dotyczy również Polski” – podkreśla Jeremi Gryka.
Jednym z najistotniejszych rodzajów zagrożeń, dyktujących obecnie wydatki na bezpieczeństwo, są ataki APT (Advanced Persistent Threat), czyli złożone, długotrwałe, wielostronne i wielostopniowe działania kierowane przeciwko konkretnym osobom lub firmom. Wskazuje na nie od 40 do 60% respondentów, w zależności od branży. Jednocześnie zaledwie 16% ankietowanych uważa, że ich organizacje są przygotowane na obronę przed takimi atakami i dysponują skuteczną polityką bezpieczeństwa.
Rosnące zagrożenie atakami ATP ma związek także z wzrastającą popularnością urządzeń mobilnych i mediów społecznościowych. Tymczasem zaledwie 37% organizacji na świecie posiada strategię bezpieczeństwa definiującą zasady korzystania z urządzeń mobilnych, a jeszcze mniej firm dysponuje taktyką dotyczącą mediów społecznościowych.
Kto (za)inwestuje w bezpieczeństwo
W ciągu ostatnich kilku lat, wiele organizacji ograniczało wydatki na bezpieczeństwo informacji i odkładało nowe projekty. Pomimo upływu kolejnego roku naznaczonego cięciami, ponad połowa respondentów na świecie jest przekonana, że budżety bezpieczeństwa w najbliższych miesiącach wzrosną. Jest to poziom optymizmu zbliżony do roku ubiegłego, a tym samym znacznie wyższy niż w latach 2007–2009. „Być może ten optymizm wypływa z przekonania, iż świadomość rosnących zagrożeń i coraz głębsza wiedza przełożą się w końcu na możliwość zdobycia finansowania” – zwraca uwagę Jeremi Gryka.
Optymizm jest szczególnie imponujący w Azji, gdzie inwestycje w bezpieczeństwo wzrosły i zostały spożytkowane na rozbudowę efektywnych narzędzi detekcji i prewencji. Tegoroczne wyniki pokazują, że Azja nie zamierza spocząć na laurach: odsetek azjatyckich respondentów, którzy przewidują kolejne zwiększenie wydatków w tym obszarze w ciągu najbliższych 12 miesięcy, skoczył z 53% w 2009 r. do 74% w roku bieżącym. Jest to wynik znacznie wyższy niż w jakimkolwiek innym regionie.
Więcej informacji o badaniu
„Globalny system bezpieczeństwa informacji 2012” jest badaniem przeprowadzonym na całym świecie przez PwC oraz magazyny CIO Magazine i CSO Magazine. Zostało zrealizowane online w okresie między 10 lutego, a 18 kwietnia 2011 r. Czytelnicy magazynów CIO i CSO oraz klienci PwC z całego świata zostali poproszeni drogą e-mailową o wypełnienie ankiety. Wyniki omówione w tym raporcie zostały uzyskane na podstawie odpowiedzi od ponad 9600 CEO, CFO, CISO, CIO, CSO, wiceprezesów oraz dyrektorów ds. IT i bezpieczeństwa informacji z 138 krajów. Dwadzieścia dziewięć procent respondentów pochodziło z Ameryki Północnej, 26% z Europy, 21% z Ameryki Południowej, 20% z Azji, zaś 3% z Środkowego Wschodu i Afryki Południowej. Margines błędu wynosi mniej niż 1%. Więcej informacji na temat badania znajduje się pod adresem www.pwc.com/pl/giss2012.
Źródło: The 2012 Global State of Information Security Study®