W ciągu ostatniego roku trzech na czterech dyrektorów IT zauważyło zwiększoną liczbę ataków zewnętrznych na dane firm, w których pracują. Jednak to nie hakerów informatycy boją się najbardziej, lecz swoich współpracowników – wynika ze Światowego Badania Bezpieczeństwa Informacji przeprowadzonego po raz piętnasty przez firmę doradczą Ernst & Young.
Wyciek informacji
Zdaniem 37 proc. respondentów nieodpowiedzialni pracownicy to największe zagrożenie dla bezpieczeństwa informacji w firmach lub instytucjach publicznych. Między innymi dlatego aż 45 proc. dyrektorów IT uważa, że ograniczenie pracownikom dostępu do takich serwisów jak Facebook czy Twitter to sposób na poprawę bezpieczeństwa IT.
Smartfony, tablety, media społecznościowe, cloud computing stworzyły dla firm wiele szans na rozwój, ale jednocześnie stały się przyczyną zwiększonego zagrożenia dla bezpieczeństwa informacji. Z badania Ernst & Young wynika, że firmy w niewystarczającym stopniu dbają o procedury chroniące dane, narażając się tym samym na wyciek danych. Jedynie 40 proc. firm zapewnia ochronę danych poprzez zastosowanie technik szyfrowania.
Reklama
– Nawet najlepsze procedury ochrony informacji będą bezwartościowe, jeżeli nie są we właściwy sposób wdrożone. W szczególności warto poświęcić dużą uwagę podnoszeniu świadomości pracowników w zakresie bezpieczeństwa informacji, bo to właśnie czynnik ludzki jest najczęściej najsłabszym ogniwem systemów zabezpieczeń – mówi Michał Kurek, starszy menedżer w dziale zarządzania ryzykiem informatycznym Ernst & Young.
Cloud computing staje się coraz bardziej powszechnym modelem zarządzania środowiskiem IT. W ciągu ostatnich dwóch lat podwoiła się liczba organizacji korzystających z przetwarzania w chmurze. 59 proc. organizacji korzysta lub zastanawia się nad korzystaniem z cloud computingu, a jednocześnie aż 38 proc. respondentów przyznało, że nie podjęło żadnych działań mających zmniejszyć ryzyko związane z używaniem tej technologii.
– Jak w przypadku każdej nowej technologii, przed wdrożeniem cloud computingu konieczne jest przeprowadzenie kompleksowej analizy ryzyka, uwzględniającej zarówno zagrożenia dla poufności i integralności informacji przetwarzanych w chmurze, jak również dla ich dostępności – uważa Michał Kurek.
Zwiększona presja na wzrost zysków, redukcja kosztów i szybki rozwój technologii powodują, że bezpieczeństwo informacji jest wciąż mocno zaniedbanym obszarem działalności przedsiębiorstw. Poziom ryzyka informatycznego nieustannie rośnie, co potwierdzają liczby. Aż 77 proc. respondentów badania przyznało, że w ciągu ostatniego roku zwiększył się poziom zagrożeń zewnętrznych, a 46 proc. przyznało, że wzrasta również poziom zagrożenia będący skutkiem wewnętrznych zaniechań.
Kosztowne incydenty
Świadomość istnienia coraz większej ilości ryzyk niestety nie idzie w parze ze zwiększoną skłonnością do zabezpieczania danych w zorganizowany sposób. Aż 63 proc. ankietowanych wskazało, że ich firmy nie mają formalnie opracowanej czy wdrożonej architektury bezpieczeństwa, a 70 proc. jest świadom, że stosowany system zabezpieczeń nie odpowiada w pełni potrzebom organizacji.
– Wirtualizacja środowiska informatycznego stanowi dużą oszczędność dla firm, ale w dobie tak szybkiego postępu technologicznego należy zdać sobie sprawę z zagrożeń, jakie niesie ta modernizacja. Incydenty związane z wyciekiem informacji lub kradzieżą danych mogą mieć poważne konsekwencje dla firm, nie tylko finansowe, ale również wizerunkowe. Wobec rozwoju nowych technologii oraz wzrostu poziomu zagrożeń z nimi związanych organizacje na całym świecie muszą zweryfikować swoje podejście do bezpieczeństwa informacji – uważa Kazimierz Klonecki, partner w dziale zarządzania ryzykiem informatycznym w Ernst & Young.
Co przeszkadza
Za największą przeszkodę w realizacji działań ograniczających ryzyko respondenci uznali (62 proc.) zbyt mały budżet. Również poważnym problemem, na który zwróciło uwagę 43 proc. przebadanych przedsiębiorstw, jest brak odpowiednio wykwalifikowanej kadry, która mogłaby się zająć bezpieczeństwem informacji, dostosowywaniem procedur i wdrażaniem programów podnoszących świadomość pracowników w obszarze bezpieczeństwa, promujących m.in. świadome korzystanie z technologii mobilnych. Co piąty respondent wskazał brak wsparcia ze strony kadry zarządzającej.
Badanie przeprowadzono między majem a lipcem tego roku wśród 1850 respondentów odpowiedzialnych głównie za działy IT i bezpieczeństwo informacji.
