Stare strategie niebezpieczne dla firm

– W naszym badaniu wzięły udział przedsiębiorstwa będące liderami w swoich branżach w Polsce. Na tle podobnych organizacji na świecie polskie firmy wyróżniają się korzystnie szczególnie w tych obszarach, które wymagają zgodności z restrykcyjnymi przepisami prawa – w szczególności dotyczącego ochrony danych osobowych i własności intelektualnej. Jednocześnie wskaźniki mówiące o strategicznej roli cyberbezpieczeństwa – jak pozycja w strukturze firmy czy wielkość budżetu, znacząco odbiegają in minus od najlepszych praktyk – zaznacza Piotr Urban, partner, Risk Assurance w PwC.

• Jak wskazują autorzy raportu, w ciągu ostatnich dwóch lat na świecie zwiększyła się liczba respondentów, którzy nie potrafią określić, czy i do ilu zagrożeń bezpieczeństwa doszło w ich firmach (18%).
• W Polsce obecnie prawie ¼ badanych nie wie, ile incydentów związanych z bezpieczeństwem miało miejsce w ich organizacjach, a większość koncentruje się znacznie bardziej na kwestiach zapewnienia zgodności z regulacjami niż na ochronie wartościowych biznesowo informacji.
• Jednocześnie jednak aż 80% ankietowanych na naszym rynku jest przekonanych, że obecne strategie potrafią skutecznie zapewnić bezpieczeństwo informacyjne w ich przedsiębiorstwach (74% na świecie).
• Na polskim rynku widać wyraźnie, że chęć rozwoju bezpieczeństwa informacyjnego spotyka się ze znaczącymi ograniczeniami finansowymi. Budżet na te działania wciąż pozostaje na niskim poziomie – stanowi jedynie 2,7% środków przeznaczanych na IT. Dla porównania – globalne wydatki na bezpieczeństwo wynoszą średnio aż 3,8% budżetów IT, które kwotowo są nieporównywalnie większe niż w Polsce.

Średnia strata dla firmy w wyniku naruszenia bezpieczeństwa wyniosła na świecie 531 USD. Co ciekawe, w ostatnich dwóch latach o 50% wzrosła liczba przedsiębiorstw, które swoje straty wyceniają na ponad 10 mln USD. Zjawisko to dotyczy także tych branż, które tradycyjnie bardziej inwestują w bezpieczeństwo jak sektor finansowy, farmaceutyczny czy IT.

• Najczęstszym skutkiem incydentów naruszenia bezpieczeństwa jest utrata lub kradzież danych. W Polsce niemal 50% wszystkich ataków kończy się wyciekiem lub niedostępnością informacji.
• Podobną tendencję obserwujemy na świecie – utrata danych jest skutkiem 24% wszystkich incydentów, o 16% więcej niż w ubiegłym roku. Co ciekawe, aż 42% badanych na świecie nie używa najprostszych narzędzi zapobiegających utracie danych.

– Obecnie jest tylko kwestią czasu, czy dana firma stanie się ofiarą. Należy założyć, że incydent naruszenia bezpieczeństwa już nastąpił, tylko jeszcze nie został wykryty. Oznacza to, że zarządzanie kryzysowe i bezpieczeństwo zaczęły się przenikać i muszą być traktowane łącznie – mówi Rafał Jaczyński, lider zespołu bezpieczeństwa w PwC.

• Respondenci polskiego badania twierdzą, że trzy podstawowe przeszkody utrudniające udoskonalenie zabezpieczeń to: niewystarczające finansowanie, brak wizji dotyczącej wpływu przyszłych potrzeb biznesowych na bezpieczeństwo (po 24% w ankiecie globalnej), oraz brak przywództwa ze strony prezesa lub zarządu (23%)

• Równocześnie choć 47% respondentów na świecie korzysta z przetwarzania w chmurze, to jedynie 18% uwzględniło w swojej polityce bezpieczeństwa przepisy dotyczące chmury. Wyniki badania wykazały, że choć większość respondentów wdrożyła tradycyjne środki ostrożności (takie jak sieci VPN, zapory firewall, szyfrowanie komputerów PC), zaś niewielu z nich zastosowało narzędzia, które monitorują dane i sieci, umożliwiając analizę obecnych zagrożeń w czasie rzeczywistym.

– W obliczu coraz szybciej pojawiających się nowych zagrożeń i ataków oportunistycznych zdolność firmy do zauważenia momentu, kiedy zastosowane zabezpieczenia zostały przełamane i uruchomienia adekwatnej reakcji na incydent są aktualnie jednymi z najważniejszych wyznaczników dojrzałości firmy w zakresie cyberbezpieczeństwa – podsumowuje Rafał Jaczyński.

Raport: metodyka, próbka

Raport „Bezpieczeństwo informacji – bezpieczna przyszłość” powstał na bazie badania globalnego „The Global State of Information Security^® 2014, przeprowadzonego przez firmę PwC oraz magazyn CIO i magazyn CSO. Wyniki omówione w globalnym raporcie są oparte na odpowiedziach udzielonych przez ponad 9600 członków kadry kierowniczej, wśród których byli CEO, CFO, CISO, CIO, CSO, wiceprezesi i dyrektorzy ds. IT i bezpieczeństwa informatycznego ze 115 krajów. Trzydzieści sześć procent respondentów pochodziło z Ameryki Północnej, 26 procent z Europy, 21 procent z Azji i Pacyfiku, 16 procent z Ameryki Południowej, natomiast dwa procent z Bliskiego Wschodu i Afryki. Margines błędu jest mniejszy niż jeden procent. Globalne badanie zostało uzupełnione o część polską, w której udział wzięło ponad 70 firm i organizacji działających w Polsce. Głównie reprezentowane wśród polskich respondentów branże to sektor finansowy (bankowość i ubezpieczenia), telekomunikacyjny, przemysłu, usług doradczych oraz wytwarzania oprogramowania.