Raport PwC: rośnie świadomość zagrożeń bezpieczeństwa informacji

Według badania "Globalny stan bezpieczeństwa informacji 2012" prawie ¾ respondentów na świecie uważa, że działania zapewniające bezpieczeństwo informacji w ich organizacjach są skuteczne. Prawie połowa europejskich respondentów wskazuje, że przy rosnącym poziomie ryzyka zapewnienie bezpieczeństwa staje się coraz trudniejsze ze względu na niewystarczające środki finansowe.

Prawie połowa firm biorących udział w badaniu "Globalny stan bezpieczeństwa informacji 2012" uważa, że spełnia jednocześnie dwa ważne kryteria skuteczności w obszarze bezpieczeństwa, czyli zarówno posiada kompleksową strategię ochrony informacji, jak i aktywnie ją realizuje. Prawie 30% organizacji jest zdania, że lepiej radzi sobie ze stworzeniem strategii niż jej wypełnieniem, podczas gdy 15% wręcz odwrotnie - skoncentrowało się na aktywnym przeciwdziałaniu zagrożeniom, wykazując mniej konsekwencji w pracach nad strategicznym podejściem do bezpieczeństwa. Do biernego reagowania na pojawiające się zagrożenia - rezygnując z podejścia strategicznego - ogranicza się aż 14% respondentów.

Jeżeli jednak założymy, że liderem jest przedsiębiorstwo, które posiada jednocześnie wdrożoną kompleksową strategię bezpieczeństwa informacji, CISO lub jego odpowiednika, który raportuje bezpośrednio do zarządu, wdrożony proces okresowego pomiaru skuteczności i przeglądu polityki bezpieczeństwa i zrozumienie natury naruszeń bezpieczeństwa, z jakimi się zetknęła, to jedynie 13% respondentów zakwalifikowało się do ścisłej czołówki. "Dzięki znacznie szerszemu stosowaniu dostępnych mechanizmów obrony przed zagrożeniami, rejestrują oni około połowę mniej incydentów niż całość populacji. Nie dziwi więc, że aż 93% z tych firm uważa swoje działania w zakresie bezpieczeństwa za skuteczne" - podkreśla Jeremi Gryka, wicedyrektor w zespole ds. systemów i kontroli wewnętrznej PwC.

Najwięcej liderów zostało odnotowanych w branży nowych technologii (15%), produkcji przemysłowej (13%), usług finansowych (10%), najmniej - w ochronie zdrowia, agendach rządowych, sektorze energetycznym i mediów (po 4%) oraz przemyśle lotniczym i obrony narodowej (2%). Z badania wynika także, że rośnie świadomość istniejących zagrożeń - w tym roku już ponad 80% respondentów na świecie potrafiło udzielić konkretnych informacji na temat częstotliwości, rodzaju i źródeł naruszeń bezpieczeństwa, jakich doświadczyła ich organizacja. "Jest to ogromny postęp, gdyż zaledwie kilka lat temu blisko połowa respondentów nie umiała odpowiedzieć na najbardziej podstawowe pytania dotyczące charakteru naruszeń bezpieczeństwa" - podkreśla Jeremi Gryka. Największy wzrost wiedzy na temat naruszeń bezpieczeństwa widoczny jest obecnie w branży lotniczej i obrony narodowej, usług finansowych, technologii, telekomunikacji oraz w sektorze publicznym.

Najistotniejsze źródło zagrożeń firmy nadal widzą w obecnych lub byłych pracownikach. Jednak coraz większą wagę respondenci przywiązują do innej klasy "insiderów": 17% ankietowanych wskazuje klientów, a 15% - partnerów biznesowych i dostawców jako kluczowe źródła ryzyka (w zeszłym roku odpowiednio 12% i 11%). "Wynika to w dużej mierze z coraz większego otwarcia biznesu na dostęp do informacji z zewnątrz, ale bez wątpienia jest i drugi czynnik - równolegle z otwarciem na dostawców postępuje liberalizacja w zakresie podstawowych środków bezpieczeństwa, które powinny stanowić pierwszą linię obrony" - zauważa Jeremi Gryka. Przykładowo, w Europie w ciągu ostatnich dwóch lat odsetek firm, które wymagają, aby dostawcy dostosowali polityki bezpieczeństwa do ich wymagań, spadł z 31% do alarmujących 22%. Co więcej, już tylko 18% firm utrzymuje zestawienia wszystkich dostawców przetwarzających dane osobowe klientów lub pracowników.

"Globalny stan bezpieczeństwa informacji 2012" pokazuje, że jednym z najistotniejszych rodzajów zagrożeń, dyktujących obecnie wydatki na bezpieczeństwo, są ataki APT, czyli złożone, długotrwałe, wielostronne i wielostopniowe działania kierowane przeciwko konkretnym osobom lub firmom. Wskazuje na nie od 40 do 60% respondentów w zależności od branży. Jednocześnie zaledwie 16% ankietowanych uważa, że ich organizacje są przygotowane na obronę przed takimi atakami i dysponują skuteczną polityką bezpieczeństwa. Pomimo upływu kolejnego roku naznaczonego cięciami, ponad połowa respondentów na świecie jest przekonana, że budżety bezpieczeństwa w najbliższych miesiącach wzrosną. "Być może ten optymizm wypływa z przekonania, iż świadomość rosnących zagrożeń i coraz głębsza wiedza przełoży się w końcu na możliwość zdobycia finansowania" - zwraca uwagę Jeremi Gryka.