Jak zarządzać ryzykiem w firmie?

Zgodnie z raportem Second Annual Cost of Cyber Crime Study, podsumowującym wyniki sponsorowanej przez HP ankiety przeprowadzonej przez Ponemon Institute, cyberataki mają znaczny wpływ finansowy na firmy i instytucje administracji publicznej mimo rosnącego poziomu świadomości społeczeństwa. Z raportu Cyber Crime wynikają następujące wnioski:

• Średnie koszty cyberprzestępczości wynoszą obecnie 5,9 mln USD rocznie, co oznacza wzrost o 56% względem średnich kosztów odnotowanych w raporcie z badań z ubiegłego roku. Ponadto więcej niż 90% wszystkich kosztów cyberprzestępczości było związanych z atakami takimi jak szkodliwy kod, odmowa usługi, kradzież urządzeń oraz ataki z Internetu.
• W okresie czterech tygodni w badanych przedsiębiorstwach i instytucjach miały miejsce średnio 72 udane ataki tygodniowo, co oznacza wzrost o prawie 45% w porównaniu z rokiem ubiegłym.
• W przypadku cyberataku średni czas rozwiązania problemu wynosi 18 dni, zaś średni koszt ponoszony w związku z tym to prawie 416 000 USD. Oznacza to wzrost o prawie 70% w porównaniu z badaniem z ubiegłego roku, w którym szacunkowy koszt wynosił 250 000 USD przy 14-dniowym czasie rozwiązania.

Na zlecenie HP firma Coleman Parkes przeprowadziła też inne badania, w ramach których uczestniczący w ankiecie dyrektorzy ds. biznesowych i technicznych odpowiadali na pytania dotyczące ich poglądów na ryzyko, zagrożenia bezpieczeństwa i bieżące priorytety(2). Z raportu podsumowującego te badania wynika, że respondenci pytani o to, który typ zarządzania ryzykiem jest najważniejszy dla ich przedsiębiorstwa, najczęściej wymieniali zarządzanie ryzykiem finansowym.  Za zagrożenia stwarzające największe potencjalnie ryzyko dla przedsiębiorstw uczestniczący w badaniu dyrektorzy uznali zagrożenia ekonomiczne ― odpowiedź tę wskazało 50% respondentów. Na drugiej pozycji, z niewiele niższym wynikiem, znalazły się zagrożenia techniczne.

Badania wykazały także, że choć dyrektorzy są świadomi potencjalnych zagrożeń bezpieczeństwa, nie mają zaufania do procedur zarządzania ryzykiem stosowanych w ich przedsiębiorstwach. Jedynie 29% dyrektorów ds. biznesowych i 27% dyrektorów ds. technicznych stwierdziło, że ich przedsiębiorstwa są dobrze chronione przed zagrożeniami bezpieczeństwa.

Uczestniczący w ankiecie dyrektorzy stwierdzili także, że liczba i złożoność ryzyk i zagrożeń nadal rośnie. Niemal 70% respondentów uznało, że złożoność ryzyk wzrosła. Ponadto:

• Ponad 50% dyrektorów uważa, że w ciągu ubiegłego roku wzrosła liczba przypadków naruszenia zabezpieczeń w ich przedsiębiorstwach. 27% respondentów odpowiedziało, że w minionym roku zetknęło się z przypadkami naruszenia zabezpieczeń w postaci nieuprawnionego dostępu wewnątrz firmy, a 20% miało do czynienia z przypadkami naruszenia zabezpieczeń z zewnątrz.
• 21% respondentów stwierdziło, że w ciągu ostatnich 12 miesięcy ich przedsiębiorstwa zetknęły się z przypadkami nadużycia tożsamości i uprawnień w związku z naruszeniem zabezpieczeń, 19% padło ofiarą długotrwałego zakłócenia działalności biznesowej, 19% doświadczyło niepożądanego ujawnienia informacji, 13% odnotowało przeprowadzenie niebezpiecznych transakcji, a 28% musiało rozwiązywać problemy z zarządzaniem zgodnością z przepisami.
• Za najbardziej krytyczny problem dla przedsiębiorstw uznano luki w zabezpieczeniach platform, a na kolejnych pozycjach znalazły się luki w zabezpieczeniach sieci, aplikacji i urządzeń.

Ponad połowa respondentów stwierdziła, że w 2012 r. głównym priorytetem będzie dla nich zapewnienie bezpieczeństwa systemu IT, natomiast 48% uważa, że w następnym cyklu budżetowym ich budżet na zabezpieczenia będzie większy.

Rośnie zarówno liczba, jak i złożoność ryzyk biznesowych, powodując zdarzenia dotyczące bezpieczeństwa mające znaczny wpływ na działalność operacyjną i sukces przedsiębiorstw. Odwrócenie tych tendencji wymaga kompleksowego podejścia do zabezpieczeń, które zmniejszy ryzyko strat finansowych, utraty dobrej opinii, a także kontroli i kar związanych z brakiem zgodności z przepisami.