Badania przeprowadzono już po raz ósmy, przy czym trzeci raz obejmowały Polskę. W sumie wzięło w nich udział 1300 organizacji z 55 państw. W Polsce na wypełnienie ankiet zdecydowały się 33 przedsiębiorstwa, głównie z branży finansowej.

Najpierw prawo, później robak

Analitycy Ernst & Young zwracają uwagę, że po raz pierwszy w historii badań głównym czynnikiem stymulującym inwestycje w bezpieczeństwo stały się nowe regulacje prawne. Wskazało na to 78% respondentów w Polsce i 61% w skali całego świata. Kluczowa rolę odgrywają tutaj wymogi stawiane przez różnego rodzaju regulacje branżowe. W polskich warunkach istotne znacznie miała Nowa Bazylejska Umowa Kapitałowa, VIII Dyrektywa Unijna w zakresie sprawozdawczości finansowej czy tzw. Ustawa Sarbanes-Oxley, która dotyczy lokalnych oddziałów amerykańskich przedsiębiorstw. Wszystkie te regulacje obejmujące mechanizmy kontroli wewnętrznej czy ryzyka operacyjnego, miały przełożenie na inwestycje w bezpieczeństwo.

W przypadku dużych przedsiębiorstw ważnym czynnikiem skłaniającym do uszczelniania systemów bezpieczeństwa były oczywiście zagrożenia płynące ze strony wirusów i robaków. Większość organizacji dysponuje już odpowiednimi narzędziami do ochrony i tego typu inwestycje w najbliższych 12 miesiącach będą przesuwać się na dalsze miejsca na liście priorytetów.

Dane jak na tacy

Wraz z coraz niższymi kosztami, upowszechnia się zastosowanie technologii mobilnych, jako wydajniejszej i bardziej konkurencyjnej metody pracy. Powoduje to jednak, że zasoby informacyjne i strategiczne dane przedsiębiorstw wydostają się poza bezpieczne i kontrolowane środowisko organizacji - wskazują autorzy raportu. Większa odpowiedzialność dotyczącą poziomu bezpieczeństwa spada na pracowników. Według respondentów - kierowników działów IT - dużym problemem dla ich firm są obecnie urządzenia przenośne (np. notebooki), wymienne nośniki danych, sieci bezprzewodowe czy technologia VoIP, która dotychczas była postrzegana wyłącznie przez pryzmat obniżania kosztów telekomunikacyjnych. W Polsce świadomość zagrożeń ze strony VoIP jest jeszcze nikła, natomiast w skali globalnej jako potencjalne niebezpieczeństwo wymienią ją 21% respondentów.

Prestiż z certyfikatem

Jak wskazują twórcy raportu, jedynie 12% badanych przedsiębiorstw wdrożyło system bezpieczeństwa informacji zgodne ze standardami ISO17799/BS7799, ITIL czy CobIT. "W przypadku ISO17799/BS7799 19% przedsiębiorstw deklaruje, że wdrożyło bądź uzyskało certyfikat zgodności z tym standardem, kolejne 44 % planuje to zrobić w przyszłości" - piszą autorzy opracowania. W przypadku ITIL odsetek respondentów wynosi odpowiednio 9% oraz 41%. Na pierwszym miejscu wśród powodów wdrażania standardów jest kreowanie wizerunku w kontaktach z partnerami. Na drugim - korzystanie z najlepszych praktyk w zakresie zarządzania bezpieczeństwem informacji.

Obowiązek, nie strategia

W raporcie Ernst & Young wiele razy pada słowo "dysproporcja". Według autorów badań chodzi o dysproporcje pomiędzy rosnącą liczbą zagrożeń a działaniami jakie podejmują firmy w zakresie zwiększenia bezpieczeństwa. Owszem, firmy poczyniły nakłady związane z obowiązkiem dostosowania się do wymogów prawnych, ale w większości przypadków bezpieczeństwo informacji nie stało się integralną częścią ogólnej strategii firmy. Alokacja czasu i środków przesunięta jest w ciąż na działania rutynowe. Specjaliści z Ernst & Young podkreślają jednocześnie, że przedsiębiorstwa zbyt mało wagi przykładają do otoczenia biznesowego i procedur bezpieczeństwa stosowanych w kontaktach z dostawcami czy partnerami. Z przeprowadzonych badań wynika, że 21% firm w ogóle nie zajmuje się taką kwestią, natomiast 33% stosuje jedynie nieformalne procedury. W Polsce wskaźniki te wynoszą - odpowiednio - 38% oraz 9%. Sprawa wykracza poza informatyczny kontekst i sprowadza się również do pytań typu - "Czy wiesz kto chroni Twoją firmę lub sprząta Twoje biuro?"