Bezpieczeństwo informacji na świecie w 2012 roku

Rośnie świadomość zagrożeń, choć możliwość sprostania im zmniejsza się na przestrzeni ostatnich lat.

Według badania „Globalny stan bezpieczeństwa informacji 2012” prawie 3/4 respondentów na świecie uważa, że działania zapewniające bezpieczeństwo informacji w ich organizacjach są skuteczne. Co ważne, odsetek osób przekonanych o efektywności stosowanych rozwiązań zmniejszył się jednak aż o 12 punktów procentowych od 2006 r. Prawie połowa europejskich respondentów wskazuje, że – przy rosnącym poziomie ryzyka – zapewnienie bezpieczeństwa staje się coraz trudniejsze ze względu na niewystarczające środki finansowe.

Badanie zostało przeprowadzone przez PwC we współpracy z magazynami CIO i CSO. W corocznej ankiecie udział wzięło ponad 9600 dyrektorów ds. bezpieczeństwa z 138 krajów, w tym z Polski.

Prawie połowa ankietowanych firm uważa, że spełnia jednocześnie dwa ważne kryteria skuteczności w obszarze bezpieczeństwa, czyli zarówno posiada kompleksową strategię ochrony informacji, jak i aktywnie ją realizuje. Prawie 30% organizacji jest zdania, że lepiej radzi sobie ze stworzeniem strategii niż jej wypełnieniem, podczas gdy 15% wręcz odwrotnie - skoncentrowało się na aktywnym przeciwdziałaniu zagrożeniom, wykazując mniej konsekwencji w pracach nad strategicznym podejściem do bezpieczeństwa. Do biernego reagowania na pojawiające się zagrożenia – rezygnując z podejścia strategicznego – ogranicza się aż 14% respondentów.

Jeżeli jednak zaostrzymy kryteria przyjmując, iż liderem jest przedsiębiorstwo, które posiada jednocześnie:

  • wdrożoną kompleksową strategię bezpieczeństwa informacji,

  • CISO lub jego odpowiednika, który raportuje bezpośrednio do zarządu,

  • wdrożony proces okresowego pomiaru skuteczności i przeglądu polityki bezpieczeństwa,

  • zrozumienie natury naruszeń bezpieczeństwa, z jakimi się zetknęła.

to jedynie 13% respondentów zakwalifikowało się do ścisłej czołówki. „Dzięki znacznie szerszemu stosowaniu dostępnych mechanizmów obrony przed zagrożeniami, rejestrują oni około połowę mniej incydentów niż całość populacji. Nie dziwi więc, że aż 93% z tych firm uważa swoje działania w zakresie bezpieczeństwa za skuteczne” – podkreśla Jeremi Gryka, wicedyrektor w zespole ds. systemów i kontroli wewnętrznej PwC.

Najwięcej liderów odnotowaliśmy w branży nowych technologii (15%), produkcji przemysłowej (13%), usług finansowych (10%), najmniej zaś – w ochronie zdrowia, agendach rządowych, sektorze energetycznym i mediów (po 4%) oraz przemyśle lotniczym i obrony narodowej (2%).

Jak wynika z badania, rośnie świadomość istniejących zagrożeń – w tym roku już ponad 80% respondentów na świecie potrafiło udzielić konkretnych informacji na temat częstotliwości, rodzaju i źródeł naruszeń bezpieczeństwa, jakich doświadczyła ich organizacja.

„Jest to ogromny postęp, gdyż zaledwie kilka lat temu blisko połowa respondentów nie umiała odpowiedzieć na najbardziej podstawowe pytania dotyczące charakteru naruszeń bezpieczeństwa”

– podkreśla Jeremi Gryka.

Największy wzrost wiedzy nt. naruszeń bezpieczeństwa widoczny jest obecnie w branży lotniczej i obrony narodowej, usług finansowych, technologii, telekomunikacji oraz w sektorze publicznym.

„Jeśli organizacje utrzymają zachowawczą postawę w kwestii inwestowania w bezpieczeństwo, będą coraz słabiej przygotowane, aby skutecznie stawić czoło pojawiającym się coraz to nowym zagrożeniom”

– zauważa Jeremi Gryka.

„W Europie niewiele ponad połowa ankietowanych przedsiębiorstw posiada całościową strategię bezpieczeństwa, jeszcze mniej zatrudnia osobę dedykowaną do tego obszaru, raportującą na poziomie zarządu, czy w sposób scentralizowany zarządza bezpieczeństwem informacji”.

Główne źródła zagrożeń

Najistotniejsze źródło zagrożeń firmy nadal widzą w obecnych lub byłych pracownikach. Jednak coraz większą wagę respondenci przywiązują do innej klasy „insiderów”: 17% ankietowanych wskazuje klientów, a 15% – partnerów biznesowych i dostawców jako kluczowe źródła ryzyka (w zeszłym roku odpowiednio 12% i 11%).

„Wynika to w dużej mierze z coraz większego otwarcia biznesu na dostęp do informacji z zewnątrz, ale bez wątpienia jest i drugi czynnik – równolegle z otwarciem na dostawców postępuje liberalizacja w zakresie podstawowych środków bezpieczeństwa, które powinny stanowić pierwszą linię obrony”

– zauważa Jeremi Gryka.

Przykładowo, w Europie w ciągu ostatnich dwóch lat odsetek firm, które wymagają, aby dostawcy dostosowali polityki bezpieczeństwa do ich wymagań, spadł z 31% do alarmujących 22%. Co więcej, już tylko 18% firm utrzymuje zestawienia wszystkich dostawców przetwarzających dane osobowe klientów lub pracowników.

Wraz z rosnącą popularnością chmur obliczeniowych (cloud computing) – stosowanych w różnych formach już przez 2/5 ankietowanych na świecie –organizacje stawiają sobie pytanie o wpływ „chmury” na bezpieczeństwo. Większość ankietowanych (54%) jest zdania, że cloud computing poprawia bezpieczeństwo, podczas gdy 23% uważa, że „chmura” zwiększyła podatność na ataki. Jako najważniejsze ryzyko związane z przetwarzaniem „w chmurze” respondenci wskazują ograniczone możliwości wyegzekwowania stosowania polityki bezpieczeństwa u dostawców „chmury”.

„Biorąc pod uwagę jednoczesny wzrost znaczenia dostawców jako potencjalnego źródła naruszeń i rosnącą popularność rozwiązań outsourcingowych, należałoby się spodziewać, że zmieni się również podejście przedsiębiorstw do współpracy z dostawcami w obszarze bezpieczeństwa. Niestety z możliwości zapewnienia sobie komfortu i stosowania dostępnych metod sprawdzenia, na ile dany dostawca chroni wrażliwe informacje, w ostatnim okresie korzysta coraz mniej firm. Problem dotyczy również Polski”

– podkreśla Jeremi Gryka.

Jednym z najistotniejszych rodzajów zagrożeń, dyktujących obecnie wydatki na bezpieczeństwo, są ataki APT (Advanced Persistent Threat), czyli złożone, długotrwałe, wielostronne i wielostopniowe działania kierowane przeciwko konkretnym osobom lub firmom. Wskazuje na nie od 40 do 60% respondentów w zależności od branży. Jednocześnie zaledwie 16% ankietowanych uważa, że ich organizacje są przygotowane na obronę przed takimi atakami i dysponują skuteczną polityką bezpieczeństwa.

Rosnące zagrożenie atakami ATP ma związek także z rosnącą popularnością urządzeń mobilnych i mediów społecznościowych. Tymczasem zaledwie 37% organizacji na świecie posiada strategię bezpieczeństwa definiującą zasady korzystania z urządzeń mobilnych, a jeszcze mniej firm dysponuje strategią dotyczącą mediów społecznościowych.

Kto (za)inwestuje w bezpieczeństwo?

W ciągu ostatnich kilku lat, wiele organizacji ograniczało wydatki na bezpieczeństwo informacji i odkładało nowe projekty. Pomimo upływu kolejnego roku naznaczonego cięciami, ponad połowa respondentów na świecie jest przekonana, że budżety bezpieczeństwa w najbliższych miesiącach wzrosną. Jest to poziom optymizmu zbliżony do roku ubiegłego, a tym samym znacznie wyższy niż w latach 2007 – 2009.

„Być może ten optymizm wypływa z przekonania, iż świadomość rosnących zagrożeń i coraz głębsza wiedza przełoży się w końcu na możliwość zdobycia finansowania”

– zwraca uwagę Jeremi Gryka.

Optymizm jest szczególnie imponujący w Azji, gdzie inwestycje w bezpieczeństwo wzrosły i zostały spożytkowane na rozbudowę efektywnych narzędzi detekcji i prewencji. Tegoroczne wyniki ukazują, że Azja nie zamierza spocząć na laurach: odsetek azjatyckich respondentów, którzy przewidują kolejne zwiększenie wydatków w tym obszarze w ciągu najbliższych 12 miesięcy, skoczył z 53% w 2009 r. do 74% w roku bieżącym. Jest to wynik znacznie wyższy, niż w jakimkolwiek innym regionie.

Więcej informacji o badaniu:

„Globalny system bezpieczeństwa informacji 2012”

jest badaniem przeprowadzonym na całym świecie przez PwC oraz magazyny CIO Magazine i CSO Magazine. Zostało przeprowadzone on-line w okresie między 10. lutego, a 18. kwietnia 2011 r. Czytelnicy magazynów CIO i CSO oraz klienci PwC z całego świata zostali poproszeni drogą e-mailową o wypełnienie ankiety. Wyniki omówione w tym raporcie zostały uzyskane na podstawie odpowiedzi od ponad 9600 CEO, CFO, CISO, CIO, CSO, wiceprezesów oraz dyrektorów ds. IT i bezpieczeństwa informacji z 138 krajów. Dwadzieścia dziewięć procent (29%) respondentów pochodziło z Ameryki Północnej, 26% z Europy, 21% z Ameryki Południowej, 20% z Azji, zaś 3% z Środkowego Wschodu i Afryki Południowej. Margines błędu wynosi mniej niż 1%. Więcej informacji na temat badania znajduje się pod adresem www.pwc.com/pl/giss2012

Na podstawie ogólnoświatowego badania "Globalny stan bezpieczeństwa informacji 2012” („The 2012 Global State of Information Security Study®”), prowadzonego przez magazyny CIO i CSO oraz PwC.

Źródło: CIO i CSO oraz PwC