Bezpieczeństwo informacji: rośnie świadomość zagrożeń, maleje możliwość sprostania im

Prawie połowa ankietowanych firm uważa, że spełnia jednocześnie dwa ważne kryteria skuteczności w obszarze bezpieczeństwa, czyli zarówno posiada kompleksową strategię ochrony informacji, jak i aktywnie ją realizuje.

Prawie 30 proc. organizacji jest zdania, że lepiej radzi sobie ze stworzeniem strategii niż jej wypełnieniem, podczas gdy 15 proc. wręcz odwrotnie - skoncentrowało się na aktywnym przeciwdziałaniu zagrożeniom, wykazując mniej konsekwencji w pracach nad strategicznym podejściem do bezpieczeństwa. Do biernego reagowania na pojawiające się zagrożenia – rezygnując z podejścia strategicznego – ogranicza się aż 14 proc. respondentów.

Jednak zaostrzając kryteria i przyjmując, że liderem jest przedsiębiorstwo, które posiada jednocześnie wdrożoną kompleksową strategię bezpieczeństwa informacji, CISO lub jego odpowiednika raportującego bezpośrednio do zarządu, wdrożony proces okresowego pomiaru skuteczności i przeglądu polityki bezpieczeństwa oraz zrozumienie natury naruszeń bezpieczeństwa z jakimi się zetknęła, to jedynie 13 proc. respondentów zakwalifikowało się do ścisłej czołówki.

"Dzięki znacznie szerszemu stosowaniu dostępnych mechanizmów obrony przed zagrożeniami, rejestrują oni około połowę mniej incydentów niż całość populacji. Nie dziwi więc, że aż 93 proc. z tych firm uważa swoje działania w zakresie bezpieczeństwa za skuteczne." - stwierdził Jeremi Gryka, wicedyrektor w zespole ds. systemów i kontroli wewnętrznej PwC.

Najwięcej liderów odnotowano w branży nowych technologii (15 proc.), produkcji przemysłowej (13 proc.) i usług finansowych (10 proc.), a najmniej – w ochronie zdrowia, agendach rządowych, sektorze energetycznym i mediów (po 4 proc.) oraz przemyśle lotniczym i obrony narodowej (2 proc.).

Z badania wynika, że rośnie świadomość istniejących zagrożeń. W tym roku ponad 80 proc. respondentów na świecie potrafiło udzielić konkretnych informacji na temat częstotliwości, rodzaju i źródeł naruszeń bezpieczeństwa, jakich doświadczyła ich organizacja. Dla porównania, jeszcze kilka lat temu blisko połowa respondentów nie umiała odpowiedzieć na najbardziej podstawowe pytania dotyczące charakteru naruszeń bezpieczeństwa. Największy wzrost wiedzy nt. naruszeń bezpieczeństwa widoczny jest obecnie w branży lotniczej i obrony narodowej, usług finansowych, technologii, telekomunikacji oraz w sektorze publicznym.

W Europie niewiele ponad połowa ankietowanych przedsiębiorstw posiada całościową strategię bezpieczeństwa, jeszcze mniej zatrudnia osobę dedykowaną do tego obszaru, raportującą na poziomie zarządu, czy w sposób scentralizowany zarządza bezpieczeństwem informacji.

Najistotniejsze źródło zagrożeń firmy nadal widzą w obecnych lub byłych pracownikach. Jednak coraz większą wagę respondenci przywiązują do innej klasy "insiderów": 17 proc. ankietowanych wskazuje klientów, a 15 proc. – partnerów biznesowych i dostawców, jako kluczowe źródła ryzyka (w zeszłym roku odpowiednio 12 proc. i 11 proc.).

W Europie w ciągu ostatnich dwóch lat odsetek firm, które wymagają, aby dostawcy dostosowali polityki bezpieczeństwa do ich wymagań, spadł z 31 proc. do alarmujących 22 proc.. Co więcej, już tylko 18 proc. firm utrzymuje zestawienia wszystkich dostawców przetwarzających dane osobowe klientów lub pracowników.

Wraz z rosnącą popularnością chmur obliczeniowych (cloud computing) – stosowanych w różnych formach już przez 2/5 ankietowanych na świecie – organizacje stawiają sobie pytanie o wpływ "chmury" na bezpieczeństwo. Większość ankietowanych (54 proc.) jest zdania, że cloud computing poprawia bezpieczeństwo, podczas gdy 23 proc. uważa, że "chmura" zwiększyła podatność na ataki. Jako najważniejsze ryzyko związane z przetwarzaniem "w chmurze" respondenci wskazują ograniczone możliwości wyegzekwowania stosowania polityki bezpieczeństwa u dostawców "chmury".

Jednym z najistotniejszych rodzajów zagrożeń, dyktujących obecnie wydatki na bezpieczeństwo, są ataki APT (Advanced Persistent Threat), czyli złożone, długotrwałe, wielostronne i wielostopniowe działania kierowane przeciwko konkretnym osobom lub firmom. Wskazuje na nie od 40 do 60 proc. respondentów w zależności od branży. Jednocześnie zaledwie 16 proc. ankietowanych uważa, że ich organizacje są przygotowane na obronę przed takimi atakami i dysponują skuteczną polityką bezpieczeństwa.

Rosnące zagrożenie atakami ATP ma związek także z rosnącą popularnością urządzeń mobilnych i mediów społecznościowych. Tymczasem zaledwie 37 proc. organizacji na świecie posiada strategię bezpieczeństwa definiującą zasady korzystania z urządzeń mobilnych, a jeszcze mniej firm dysponuje strategią dotyczącą mediów społecznościowych.

W ciągu ostatnich kilku lat, wiele organizacji ograniczało wydatki na bezpieczeństwo informacji i odkładało nowe projekty. Pomimo upływu kolejnego roku naznaczonego cięciami, ponad połowa respondentów na świecie jest przekonana, że budżety bezpieczeństwa w najbliższych miesiącach wzrosną. Jest to poziom optymizmu zbliżony do roku ubiegłego, a tym samym znacznie wyższy niż w latach 2007 – 2009.

Optymizm jest szczególnie imponujący w Azji, gdzie inwestycje w bezpieczeństwo wzrosły i zostały spożytkowane na rozbudowę efektywnych narzędzi detekcji i prewencji. Tegoroczne wyniki ukazują, że Azja nie zamierza spocząć na laurach: odsetek azjatyckich respondentów, którzy przewidują kolejne zwiększenie wydatków w tym obszarze w ciągu najbliższych 12 miesięcy, skoczył z 53 proc. w 2009 r. do 74 proc. w roku bieżącym. Jest to wynik znacznie wyższy, niż w jakimkolwiek innym regionie.

Badanie "Globalny system bezpieczeństwa informacji 2012" ("The 2012 Global State of Information Security Study”) zostało przeprowadzone w okresie między 10 lutego a 18 kwietnia 2011 r. na całym świecie przez PwC oraz magazyny CIO Magazine i CSO Magazine. Czytelnicy magazynów CIO i CSO oraz klienci PwC zostali poproszeni drogą e-mailową o wypełnienie ankiety. Wyniki zostały uzyskane na podstawie odpowiedzi od ponad 9600 CEO, CFO, CISO, CIO, CSO, wiceprezesów oraz dyrektorów ds. IT i bezpieczeństwa informacji ze 138 krajów, w tym z Polski. 29 proc. respondentów pochodziło z Ameryki Północnej, 26 proc. z Europy, 21 proc. z Ameryki Południowej, 20 proc. z Azji, a 3 proc. ze Środkowego Wschodu i Afryki Południowej. Margines błędu wynosi mniej niż 1 proc.