Prawie połowa firm biorących udział w badaniu "Globalny stan bezpieczeństwa informacji 2012" uważa, że spełnia jednocześnie dwa ważne kryteria skuteczności w obszarze bezpieczeństwa, czyli zarówno posiada kompleksową strategię ochrony informacji, jak i aktywnie ją realizuje. Prawie 30% organizacji jest zdania, że lepiej radzi sobie ze stworzeniem strategii niż jej wypełnieniem, podczas gdy 15% wręcz odwrotnie - skoncentrowało się na aktywnym przeciwdziałaniu zagrożeniom, wykazując mniej konsekwencji w pracach nad strategicznym podejściem do bezpieczeństwa. Do biernego reagowania na pojawiające się zagrożenia - rezygnując z podejścia strategicznego - ogranicza się aż 14% respondentów.

Jeżeli jednak założymy, że liderem jest przedsiębiorstwo, które posiada jednocześnie wdrożoną kompleksową strategię bezpieczeństwa informacji, CISO lub jego odpowiednika, który raportuje bezpośrednio do zarządu, wdrożony proces okresowego pomiaru skuteczności i przeglądu polityki bezpieczeństwa i zrozumienie natury naruszeń bezpieczeństwa, z jakimi się zetknęła, to jedynie 13% respondentów zakwalifikowało się do ścisłej czołówki. "Dzięki znacznie szerszemu stosowaniu dostępnych mechanizmów obrony przed zagrożeniami, rejestrują oni około połowę mniej incydentów niż całość populacji. Nie dziwi więc, że aż 93% z tych firm uważa swoje działania w zakresie bezpieczeństwa za skuteczne" - podkreśla Jeremi Gryka, wicedyrektor w zespole ds. systemów i kontroli wewnętrznej PwC.

Zobacz również:

• Idealne miejsce dla rozwoju pracowników
• Firmy nie spieszą się z debiutami giełdowymi
• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

Najwięcej liderów zostało odnotowanych w branży nowych technologii (15%), produkcji przemysłowej (13%), usług finansowych (10%), najmniej - w ochronie zdrowia, agendach rządowych, sektorze energetycznym i mediów (po 4%) oraz przemyśle lotniczym i obrony narodowej (2%). Z badania wynika także, że rośnie świadomość istniejących zagrożeń - w tym roku już ponad 80% respondentów na świecie potrafiło udzielić konkretnych informacji na temat częstotliwości, rodzaju i źródeł naruszeń bezpieczeństwa, jakich doświadczyła ich organizacja. "Jest to ogromny postęp, gdyż zaledwie kilka lat temu blisko połowa respondentów nie umiała odpowiedzieć na najbardziej podstawowe pytania dotyczące charakteru naruszeń bezpieczeństwa" - podkreśla Jeremi Gryka. Największy wzrost wiedzy na temat naruszeń bezpieczeństwa widoczny jest obecnie w branży lotniczej i obrony narodowej, usług finansowych, technologii, telekomunikacji oraz w sektorze publicznym.

Najistotniejsze źródło zagrożeń firmy nadal widzą w obecnych lub byłych pracownikach. Jednak coraz większą wagę respondenci przywiązują do innej klasy "insiderów": 17% ankietowanych wskazuje klientów, a 15% - partnerów biznesowych i dostawców jako kluczowe źródła ryzyka (w zeszłym roku odpowiednio 12% i 11%). "Wynika to w dużej mierze z coraz większego otwarcia biznesu na dostęp do informacji z zewnątrz, ale bez wątpienia jest i drugi czynnik - równolegle z otwarciem na dostawców postępuje liberalizacja w zakresie podstawowych środków bezpieczeństwa, które powinny stanowić pierwszą linię obrony" - zauważa Jeremi Gryka. Przykładowo, w Europie w ciągu ostatnich dwóch lat odsetek firm, które wymagają, aby dostawcy dostosowali polityki bezpieczeństwa do ich wymagań, spadł z 31% do alarmujących 22%. Co więcej, już tylko 18% firm utrzymuje zestawienia wszystkich dostawców przetwarzających dane osobowe klientów lub pracowników.

"Globalny stan bezpieczeństwa informacji 2012" pokazuje, że jednym z najistotniejszych rodzajów zagrożeń, dyktujących obecnie wydatki na bezpieczeństwo, są ataki APT, czyli złożone, długotrwałe, wielostronne i wielostopniowe działania kierowane przeciwko konkretnym osobom lub firmom. Wskazuje na nie od 40 do 60% respondentów w zależności od branży. Jednocześnie zaledwie 16% ankietowanych uważa, że ich organizacje są przygotowane na obronę przed takimi atakami i dysponują skuteczną polityką bezpieczeństwa. Pomimo upływu kolejnego roku naznaczonego cięciami, ponad połowa respondentów na świecie jest przekonana, że budżety bezpieczeństwa w najbliższych miesiącach wzrosną. "Być może ten optymizm wypływa z przekonania, iż świadomość rosnących zagrożeń i coraz głębsza wiedza przełoży się w końcu na możliwość zdobycia finansowania" - zwraca uwagę Jeremi Gryka.