Niedbały pracownik większym zagrożeniem niż atak hakerski i klęska żywiołowa

W ciągu ostatniego roku 3 na 4 dyrektorów IT zauważyło zwiększoną liczbę ataków zewnętrznych na dane firm, w których pracują. Jednak to nie hakerów informatycy boją się najbardziej lecz… swoich współpracowników. Zdaniem 37% respondentów Światowego Badania Bezpieczeństwa Informacji przeprowadzonego po raz 15-ty przez firmę doradczą Ernst & Young, niedbali bądź nieświadomi pracownicy to największe zagrożenie dla bezpieczeństwa informacji w firmach lub instytucjach publicznych. Między innymi dlatego aż 45% dyrektorów IT uważa, że ograniczenie pracownikom dostępu do takich serwisów jak Facebook czy Twitter to sposób na poprawę bezpieczeństwa IT.

Z badania przeprowadzonego wśród 1850 respondentów, odpowiedzialnych głównie za działy IT i bezpieczeństwo informacji, wynika, że biznes nie nadąża za rewolucją technologiczną. Szefowie firm nadal w niewystarczającym stopniu dbają o bezpieczeństwo informacji i lekceważą zagrożenia wiążące się m.in. ze stosowaniem nowoczesnych technologii, w tym urządzeń mobilnych.

Zwiększona presja na wzrost zysków, redukcja kosztów i szybki rozwój technologii powodują, że bezpieczeństwo informacji jest wciąż mocno zaniedbanym obszarem działalności przedsiębiorstw. Poziom ryzyka informatycznego nieustannie rośnie, co potwierdzają liczby. Aż 77% respondentów badania przyznało, że w ciągu ostatniego roku zwiększył się poziom zagrożeń zewnętrznych, a 46% przyznało, że wzrasta również poziom zagrożenia będący skutkiem wewnętrznych zaniechań. Świadomość istnienia coraz większej ilości ryzyk niestety nie idzie w parze ze zwiększoną skłonnością do zabezpieczania danych w zorganizowany sposób. Aż 63% ankietowanych wskazało, że ich firmy nie mają formalnie opracowanej czy wdrożonej architektury bezpieczeństwa, a 70% jest świadoma, że stosowany system zabezpieczeń nie odpowiada w pełni potrzebom organizacji.

Potencjał i zagrożenie w jednym: nieustanny marsz nowych technologii

Smartfony, tablety, media społecznościowe, cloud computing - w ostatnich latach nowe technologie stworzyły dla firm mnóstwo szans na rozwój, ale jednocześnie stały się przyczyną zwiększonego zagrożenia dla bezpieczeństwa informacji. Z badania Ernst & Young wynika, że firmy w niewystarczającym stopniu dbają o procedury chroniące dane.

- Nawet najlepsze procedury ochrony informacji będą bezwartościowe, jeżeli nie są we właściwy sposób wdrożone. W szczególności warto poświęcić dużą uwagę podnoszeniu świadomości pracowników w zakresie bezpieczeństwa informacji, bo to właśnie „czynnik ludzki” jest najczęściej najsłabszym ogniwem systemów zabezpieczeń

– mówi Michał Kurek, Starszy Menedżer w dziale Zarządzania Ryzykiem Informatycznym Ernst & Young.

Cloud computing staje się coraz bardziej powszechnym modelem zarządzania środowiskiem IT: w ciągu ostatnich dwóch lat podwoiła się liczba organizacji korzystających z przetwarzania w chmurze. 59% organizacji korzysta lub zastanawia się nad korzystaniem z cloud computingu, a jednocześnie aż 38% respondentów przyznało, że nie podjęło żadnych działań mających zmniejszyć ryzyko związane z używaniem tej technologii.

- Jak w przypadku każdej nowej technologii, przed wdrożeniem cloud computingu konieczne jest przeprowadzenie kompleksowej analizy ryzyka, uwzględniającej zarówno zagrożenia dla poufności i integralności informacji przetwarzanych w chmurze, jak również dla ich dostępności -

dodaje Michał Kurek.

Kazimierz Klonecki, Partner w dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young przyznaje:

- Wirtualizacja środowiska informatycznego stanowi dużą oszczędność dla firm, ale w dobie tak szybkiego postępu technologicznego należy zdać sobie sprawę z zagrożeń, jakie niesie ze sobą ta modernizacja. Incydenty związane z wyciekiem informacji lub kradzieżą danych mogą mieć poważne konsekwencje dla firm, nie tylko finansowe, ale również reputacyjne. Wobec rozwoju nowych technologii oraz wzrostu poziomu zagrożeń z nimi związanych organizacje na całym świecie muszą zweryfikować swoje podejście do bezpieczeństwa informacji.

Kolejnym istotnym obszarem w zakresie bezpieczeństwa informacji są urządzenia mobilne, takie jak np. tablety czy smartfony. Firmy, wdrażając nowe technologie, w niewystarczającym stopniu dopasowują swoje systemy bezpieczeństwa – narażając się tym samym na wyciek danych. Jedynie 40% firm zapewnia ochronę danych poprzez zastosowanie technik szyfrowania.

Media społecznościowe w coraz większym stopniu stają się kluczowym elementem w rozwoju komunikacji, również między firmą a klientem. Do największych ryzyk jakie generują media społecznościowe zalicza się m.in. wyciek wrażliwych danych stanowiących tajemnicę przedsiębiorstwa. Przebadani menedżerowie najczęściej (45%) wymieniają ograniczony lub całkowity brak dostępu do stron społecznościowych jako metodę zmniejszającą ryzyka informatyczne generowane przez ten kanał komunikacji.

Źródła zagrożeń i problemów z wdrożeniem skutecznych zabezpieczeń

Z badania Ernst & Young wynika, że największym zagrożeniem dla bezpieczeństwa informacji są nieodpowiedzialni i nieświadomi zagrożeń pracownicy – tak przyznało 37% respondentów. Inne istotne źródła zagrożenia to m.in. cyberataki, przestarzałe systemy zabezpieczające i świadome nadużycia. Natomiast za największą przeszkodę w realizacji działań ograniczających ryzyko respondenci uznali (62%) zbyt mały budżet. Również poważnym problemem, na który zwróciło uwagę 43% przebadanych przedsiębiorstw jest brak odpowiednio wykwalifikowanej kadry, która mogłaby się zająć bezpieczeństwem informacji, dostosowywaniem procedur i wdrażaniem programów podnoszących świadomość pracowników w obszarze bezpieczeństwa, promujących m.in. świadome korzystanie z technologii mobilnych. Co piąty respondent wskazał brak wsparcia ze strony kadry zarządzającej.

Pełen raport z badania Ernst & Young

Światowe Badanie Bezpieczeństwa Informacji Ernst & Young 2012 przeprowadzono piętnasty raz. Obejmuje analizę stanu bezpieczeństwa informacji. Tegoroczne badanie przeprowadzono od czerwca do sierpnia 2012. Udział wzięło prawie 1850 firm i organizacji różnych branż z całego świata (w tym z Polski).

Zauważyć można dynamiczny wzrost zagrożeń zewnętrznych na przestrzeni ostatnich lat:

  • wyniki badania z 2009 roku: 41%

  • wyniki badania z 2011 roku: 72%

  • wyniki badania z 2012 roku: 77%

Kluczowe wnioski

Według prawie połowy respondentów (46%) wzrósł również poziom zagrożeń z wnętrza organizacji

  • Źródła obserwowanych ataków:

    • Haktywizm

    • Zorganizowana przestępczość komputerowa

    • Szpiegostwo przemysłowe

    • Cyberterroryzm

Główne przyczyny nienadążania za potrzebami w obszarze bezpieczeństwa

  • Aż 70% respondentów stwierdziło, że ich system zabezpieczeń nie odpowiada w pełni potrzebom organizacji

  • Główna przyczyna to brak spójności systemu zabezpieczeń z wymaganiami biznesowymi:

    • jedynie 38% respondentów oceniło, że ich system zabezpieczeń jest spójny podejściem do zarządzania ryzykiem operacyjnym

    • 63% firm przekazało niezgodnie z najlepszymi praktykami odpowiedzialność za bezpieczeństwo funkcji IT

    • dla 46% firm temat bezpieczeństwa informacji nigdy nie pojawia się na posiedzeniach zarządu

    • aż 63% firm nie posiada formalnie opracowanej i wdrożonej architektury bezpieczeństwa informacji

  • Wśród najważniejszych ograniczeń dla wdrożenia efektywnych zabezpieczeń wymieniono:

    • brak wystarczających budżetów (62%)

    • brak wystarczających zasobów ludzkich (43%)

    • brak odpowiednich narzędzi (26%)

    • brak wsparcia ze strony zarządu (20%)

Wyzwania związane z przetwarzaniem w chmurze

  • Co raz więcej firm wykorzystuje technologię cloud computing

  • Aż 38% przedsiębiorstw przetwarzających informacje w chmurze przyznało się, że nie wdrożyło żadnych zabezpieczeń w tym obszarze

Wyzwania związane z urządzeniami mobilnymi

  • Ponad połowa respondentów wykorzystuje lub planuje wykorzystać tablety do komunikacji w firmie

  • Co czwarta organizacja zezwala lub jest świadoma powszechnego przetwarzania danych firmowych za pośrednictwem prywatnych urządzeń mobilnych

  • Mniej niż 40% respondentów stwierdziło, że stosuje szyfrowanie jako element zabezpieczenia urządzeń mobilnych

Niedbały pracownik większym zagrożeniem niż atak hakerski i klęska żywiołowa
Niedbały pracownik większym zagrożeniem niż atak hakerski i klęska żywiołowa

Zagrożenia związane z portalami społecznościowymi

  • Przeszło 38% firm nie wdrożyło jakichkolwiek mechanizmów kontrolnych związanych z bezpiecznym wykorzystaniem portali społecznościowych

  • Blokowanie dostępu do portali społecznościowych to najczęściej wykorzystywany mechanizm ograniczenia związanych z nimi zagrożeń

Firmy powinny przeprowadzić transformację bezpieczeństwa informacji w następujących czterech krokach:
1. Połączenie strategii bezpieczeństwa informacji ze strategią biznesową
2. Modyfikacja architektury bezpieczeństwa 3. Pomyślne i trwałe wdrożenie transformacji
4. Pogłębiona analiza ryzyk i możliwości związanych z nowymi technologiami

Źródło: Ernst & Young