Zwiększona presja na wzrost zysków, redukcja kosztów i szybki rozwój technologii powodują, że bezpieczeństwo informacji jest wciąż mocno zaniedbanym obszarem działalności przedsiębiorstw. Poziom ryzyka informatycznego nieustannie rośnie, co potwierdzają liczby. Aż 77% respondentów badania przyznało, że w ciągu ostatniego roku zwiększył się poziom zagrożeń zewnętrznych, a 46% przyznało, że wzrasta również poziom zagrożenia będący skutkiem wewnętrznych zaniechań. Świadomość istnienia coraz większej ilości ryzyk niestety nie idzie w parze ze zwiększoną skłonnością do zabezpieczania danych w zorganizowany sposób. Aż 63% ankietowanych wskazało, że ich firmy nie mają formalnie opracowanej czy wdrożonej architektury bezpieczeństwa, a 70% jest świadoma, że stosowany system zabezpieczeń nie odpowiada w pełni potrzebom organizacji.
Potencjał i zagrożenie w jednym: nieustanny marsz nowych technologii
Smartfony, tablety, media społecznościowe, cloud computing – w ostatnich latach nowe technologie stworzyły dla firm mnóstwo szans na rozwój, ale jednocześnie stały się przyczyną zwiększonego zagrożenia dla bezpieczeństwa informacji. Z badania Ernst & Young wynika, że firmy w niewystarczającym stopniu dbają o procedury chroniące dane.
Nawet najlepsze procedury ochrony informacji będą bezwartościowe, jeżeli nie są we właściwy sposób wdrożone. W szczególności warto poświęcić dużą uwagę podnoszeniu świadomości pracowników w zakresie bezpieczeństwa informacji, bo to właśnie “czynnik ludzki” jest najczęściej najsłabszym ogniwem systemów zabezpieczeń — mówi Michał Kurek, Starszy Menedżer w dziale Zarządzania Ryzykiem Informatycznym Ernst & Young.
Cloud computing staje się coraz bardziej powszechnym modelem zarządzania środowiskiem IT: w ciągu ostatnich dwóch lat podwoiła się liczba organizacji korzystających z przetwarzania w chmurze. 59% organizacji korzysta lub zastanawia się nad korzystaniem z cloud computingu, a jednocześnie aż 38% respondentów przyznało, że nie podjęło żadnych działań mających zmniejszyć ryzyko związane z używaniem tej technologii.
Jak w przypadku każdej nowej technologii, przed wdrożeniem cloud computingu konieczne jest przeprowadzenie kompleksowej analizy ryzyka, uwzględniającej zarówno zagrożenia dla poufności i integralności informacji przetwarzanych w chmurze, jak również dla ich dostępności — dodaje Michał Kurek.
Kazimierz Klonecki, Partner w dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young przyznaje: –
Wirtualizacja środowiska informatycznego stanowi dużą oszczędność dla firm, ale w dobie tak szybkiego postępu technologicznego należy zdać sobie sprawę z zagrożeń, jakie niesie ze sobą ta modernizacja. Incydenty związane z wyciekiem informacji lub kradzieżą danych mogą mieć poważne konsekwencje dla firm, nie tylko finansowe, ale również reputacyjne. Wobec rozwoju nowych technologii oraz wzrostu poziomu zagrożeń z nimi związanych organizacje na całym świecie muszą zweryfikować swoje podejście do bezpieczeństwa informacji.
Kolejnym istotnym obszarem w zakresie bezpieczeństwa informacji są urządzenia mobilne, takie jak np. tablety czy smartfony. Firmy, wdrażając nowe technologie, w niewystarczającym stopniu dopasowują swoje systemy bezpieczeństwa – narażając się tym samym na wyciek danych. Jedynie 40% firm zapewnia ochronę danych poprzez zastosowanie technik szyfrowania.
Media społecznościowe w coraz większym stopniu stają się kluczowym elementem w rozwoju komunikacji, również między firmą a klientem. Do największych ryzyk jakie generują media społecznościowe zalicza się m.in. wyciek wrażliwych danych stanowiących tajemnicę przedsiębiorstwa. Przebadani menedżerowie najczęściej (45%) wymieniają ograniczony lub całkowity brak dostępu do stron społecznościowych jako metodę zmniejszającą ryzyka informatyczne generowane przez ten kanał komunikacji.
Źródła zagrożeń i problemów z wdrożeniem skutecznych zabezpieczeń
Z badania Ernst & Young wynika, że największym zagrożeniem dla bezpieczeństwa informacji są nieodpowiedzialni i nieświadomi zagrożeń pracownicy – tak przyznało 37% respondentów. Inne istotne źródła zagrożenia to m.in. cyberataki, przestarzałe systemy zabezpieczające i świadome nadużycia. Natomiast za największą przeszkodę w realizacji działań ograniczających ryzyko respondenci uznali (62%) zbyt mały budżet. Również poważnym problemem, na który zwróciło uwagę 43% przebadanych przedsiębiorstw jest brak odpowiednio wykwalifikowanej kadry, która mogłaby się zająć bezpieczeństwem informacji, dostosowywaniem procedur i wdrażaniem programów podnoszących świadomość pracowników w obszarze bezpieczeństwa, promujących m.in. świadome korzystanie z technologii mobilnych. Co piąty respondent wskazał brak wsparcia ze strony kadry zarządzającej.
