Raport Ernst & Young: bezpieczeństwo systemów IT

"Stosunek niektórych instytucji do bezpieczeństwa informatycznego można uznać za nieodpowiedzialny, a braki w wyposażeniu i zarządzaniu systemami zabezpieczeń są alarmujące" - takie są wnioski z opracowanego przez Ernst & Young raportu Global Information Security Survey 2002. Raport powstał na podstawie badań ankietowych, przeprowadzonych w październiku i listopadzie 2001 r. wśród reprezentatywnej próby 459 dyrektorów działów IT i dyrektorów wykonawczych firm z całego świata.

"Stosunek niektórych instytucji do bezpieczeństwa informatycznego można uznać za nieodpowiedzialny, a braki w wyposażeniu i zarządzaniu systemami zabezpieczeń są alarmujące" - takie są wnioski z opracowanego przez Ernst & Young raportu Global Information Security Survey 2002. Raport powstał na podstawie badań ankietowych, przeprowadzonych w październiku i listopadzie 2001 r. wśród reprezentatywnej próby 459 dyrektorów działów IT i dyrektorów wykonawczych firm z całego świata.

Bezpieczeństwo informatyczne

Bezpieczeństwo informatyczne

Zdaniem analityków Ernst & Young, bezpieczeństwo informatyczne jest wciąż postrzegane jako problem techniczny, którym powinien zajmować się wyłącznie dział informatyki, instalując np. zapory czy systemy antywirusowe. "Tego typu inwestycje są niezbędne. Ich efektywność może jednak zostać zaprzepaszczona przez niewłaściwie zbudowane procesy biznesowe, brak przeszkolenia pracowników, niewystarczającą świadomość istniejących zagrożeń, brak procesów kontroli i zapewniania bezpieczeństwa oraz niedostateczne przykładanie wagi do zabezpieczeń systemów zewnętrznych, wykorzystywanych przez firmy lub osoby współpracujące z przedsiębiorstwem" - twierdzą autorzy raportu.

Jak wynika z analizy ankiet, świadomość istnienia zagrożeń jest wysoka. Aż 74% respondentów twierdzi, że w przedsiębiorstwie istnieje strategia bezpieczeństwa informatycznego, 70% zamierza usprawniać plany kontynuacji działania, a 60% jest przekonanych, że zagrożenie atakami będzie wzrastać wraz z rozwojem dostępności systemów informatycznych. Jednocześnie 3/4 ankietowanych przyznaje, że w ich firmach miały miejsce wypadki niespodziewanych przerw w działaniu kluczowych systemów IT.

Z drugiej jednak strony, aż 40% instytucji nie bada przypadków naruszenia bezpieczeństwa, plany kontynuacji działania w razie awarii ma tylko 53%, a poniżej 50% przeprowadza szkolenia pracowników dotyczące systemów zabezpieczeń. Zaledwie 41% respondentów uważa, że zagrożeniem mogą być wewnętrzne ataki, mimo że - według analityków Ernst & Young - blisko 80% przypadków naruszenia bezpieczeństwa jest związanych z działaniami pracowników.

Przytoczone wyniki dotyczą przede wszystkim rynku światowego. Brak jest podobnych analiz dla Polski. Jednak zdaniem Przemysława Soroki, pracującego w dziale Technology and Security Risk Services w Ernst & Young Poland, polskie firmy pozostają daleko w tyle pod względem wykorzystania systemów i strategii bezpieczeństwa. W jego opinii tylko 10-15% przedsiębiorstw w Polsce ma opracowane plany kontynuacji działania w razie awarii systemu IT.


TOP 200