Światowe Badanie Bezpieczeństwa Informacji zostało przeprowadzone - po raz trzeci na świecie i po raz pierwszy w Polsce - przez firmę doradczą Ernst & Young w 2003 r. wśród ok. 1400 przedsiębiorstw z 66 krajów. Na pytania odpowiadali głównie dyrektorzy ds. bezpieczeństwa lub informatyki (61% ankietowanych) oraz inni członkowie zarządów przedsiębiorstw. W badaniu wzięło udział tylko 18 firm z Polski, z czego 16 zatrudniających ponad 1000 pracowników. Ze względu na tak niewielką próbkę wyniki dotyczące polskich przedsiębiorstw należy traktować z pewną ostrożnością.

Niewielka wartość reputacji

Patrząc z perspektyw światowej i europejskiej, najważniejszym czynnikiem mającym wpływ na planowanie w przedsiębiorstwach nowych rozwiązań w zakresie bezpieczeństwa informacji okazuje się potrzeba zmniejszenia ryzyka (rozumianego jako ryzyko naruszenia integralności, poufności oraz dostępności informacji), następnie konieczność przestrzegania przepisów prawnych i administracyjnych (do czego nieco większą wagę przywiązują Europejczycy niż ankietowani spoza Europy) oraz reputacja przedsiębiorstwa.

W odpowiedziach polskich przedsiębiorstw na pierwszym miejscu znalazła się konieczność przestrzegania prawa, na drugim - potrzeba zmniejszenia ryzyka, na trzecim - zawartość protokołu pokontrolnego dotyczącego bezpieczeństwa informacji. Świadczy to z jednej strony o niskiej ocenie wartości aktywu, jakim jest reputacja przedsiębiorstwa, z drugiej - o braku orientacji co do istniejącego w przedsiębiorstwie poziomu bezpieczeństwa. Stosunkowo najrzadziej firmy, polskie i światowe, planują nowe strategie bezpieczeństwa ze względu na zachowania konkurencji.

Podręczniki i cyrografy

Na świecie przedsiębiorstwa uświadamiają pracownikom ich obowiązki w zakresie bezpieczeństwa informacji, publikując obowiązującą politykę bezpieczeństwa informacji (67% ankietowanych), wydając podręczniki dla pracowników (42%) oraz wymagając podpisywania przez pracowników odpowiednich dokumentów, w których zobowiązują się oni do przestrzegania polityki bezpieczeństwa firmy (53%). W Polsce ten ostatni środek jest zdecydowanie częściej wykorzystywany (89% firm), luksusem są natomiast podręczniki bezpieczeństwa dla pracowników (wydaje je zaledwie jedna z ankietowanych firm).

To, czego najbardziej obawiają się ankietowane firmy z całego świata, to ataki wirusowe, rozproszone ataki DoS oraz działania pracowników.

Na kolejnych miejscach listy zagrożeń znalazły się ataki hakerów-amatorów oraz działania konsultantów lub kooperantów mających dostęp do systemów informatycznych. Za stosunkowo najmniej groźne uznano ataki terrorystyczne oraz szpiegostwo międzynarodowe. Faktyczne przyczyny awarii krytycznych systemów to jednak głównie awarie sprzętu, sieci telekomunikacyjnej i oprogramowania oraz - w dalszej kolejności - skutek rozpowszechniania się w sieci korporacyjnej wirusów i robaków.

Więcej informacji na stroniehttp://www.ey.com.pl/gcrdownload/TSRS_RaportGISS2003_pl.pdf