Zmiany biznesowe oraz naciski ze strony mediów powodują konieczność skupienia się na bezpieczeństwie
Środowisko biznesowe zmienia się gwałtownie. Organizacje stają się coraz bardziej powiązane przez Internet. Sieci społecznościowe oraz zewnętrzne usługi hostingowe sprawiły, że wykorzystanie Internetu nie ogranicza się tylko do przeglądania stron internetowych, czy sprawdzenia e-maila. Sieci bezprzewodowe (Wireless) oraz telefonia internetowa (VoIP) stały się ostatnio głównym źródłem komunikacji.
34% | respondentów jest krytycznie nastawiona na zewnętrzne usługi hostingowe, które są dostępne przez Internet. |
32% | respondentów rozważa możliwość wykorzystania sieci społecznościowych jako istotnych dla ich działalności. |
85% (42%) | respondentów używa sieci bezprzewodowej (Wireless). |
47% (17%) | respondentów używa telefonii internetowej (VoIP). |
Dane porównawcze z 2008 roku podano w nawiasach
Biorąc pod uwagę recesję, a co się z tym wiąże, nacisk na ograniczenie wydatków, można się spodziewać, że nakłady na bezpieczeństwo spadną. Jednak w przeciwieństwie do tego przypuszczenia, respondenci z małych organizacji przeznaczają na bezpieczeństwo środki na najwyższym poziomie jaki kiedykolwiek zanotowano w takim badaniu.
Zmieniające się środowisko, w połączeniu z presją spowodowaną przez media, zapewniło bezpieczeństwu wysoki poziom na liście priorytetów Zarządów organizacji.
77% (81%) | respondentów uważa, że dla ich najwyższego kierownictwa bezpieczeństwo informacji stanowi wysoki lub bardzo wysoki priorytet. |
90% (94%) | respondentów utrzymało lub podniosło wydatki na bezpieczeństwo w zeszłym roku. |
10% (7%) | budżetu IT w małych organizacjach przeznaczane jest nabezpieczeństwo. |
Dane porównawcze z 2008 roku podano w nawiasach
Niestety, tak jak w przeszłości, kontrola bezpieczeństwa wydaje się rozwijać wolniej niż wykorzystywanie nowych technologii.
Wykorzystywane są nowe luki w bezpieczeństwie
Zmieniające się środowisko biznesowe stwarza powstawanie nowych luk w zabezpieczeniach. Przestępcy opracowują techniki wykorzystujące luki w zabezpieczeniach, czego wynikiem jest coraz bardziej powszechne zjawisko cyberprzestępczości. Po spadku w ciągu ostatnich kilku lat, liczba i koszt naruszenia bezpieczeństwa wydaje się rosnąć w szybkim tempie
Podobnie jak w przeszłości, duże organizacje (zatrudniające powyżej 250 pracowników) są najbardziej zagrożone naruszeniem bezpieczeństwa. Liczba naruszeń i kosztów poszczególnych incydentów znacznie wzrosła w porównaniu z poziomem z 2008 r.
92% (72%) | respondentów z dużych organizacji doznało naruszenia bezpieczeństwa w ciągu ostatniego roku. |
45 (15) | średnia (mediana) liczba naruszeń bezpieczeństwa w ciągu ostatniego roku. |
£280 tys. - £690 tys. (£90 tys. - £170 tys.) | średni koszt najgorszego zdarzenia w dużych organizacji. |
Dane porównawcze z 2008 roku podano w nawiasach.
Małe organizacje (zatrudniające mniej niż 50 pracowników) również cierpią z tego powodu. Prawie dwa razy więcej badanych zostało dotkniętych tym problemem niż w 2008 roku.
83% (45%) | respondentów z małych organizacji doznało naruszenia bezpieczeństwa w ciągu ostatniego roku. |
14 (6) | średnia (mediana) liczba naruszeń bezpieczeństwa w ciągu ostatniego roku. |
£27.5 tys. - £55 tys. | średni koszt najgorszego zdarzenia w małych organizacji. |
Dane porównawcze z 2008 roku podano w nawiasach.
Orientacyjny całkowity koszt naruszeń w Wielkiej Brytanii stanowi kwotę rzędu kilku miliardów funtów rocznie. Badani pesymistycznie patrzą w przyszłość, zaś tylko 16% oczekuje mniejszej liczby incydentów związanych z bezpieczeństwem w przyszłym roku.
Nowe zagrożenia zwiększają wymagania asekuracji
Nowa fala robaków internetowych (takich jak Conficker) przejęła komputery, które są następnie wykorzystywane do rozsyłania spamu lub ataków na inne organizacje. Złośliwe oprogramowanie bada obronę zainstalowaną w organizacji lub też samą organizację i pozwala hakerom na dostęp i kradzież poufnych danych.
62% (21%) | badanych z dużych organizacji było zarażonych wirusem lub złośliwym oprogramowaniem w ubiegłym roku. |
61% (31%) | badanych z dużych organizacji, u których wykryto znaczącą próbę włamania się do ich sieci w ubiegłym roku. |
15% (13%) | badanych z dużych organizacji, u których wykryto realne uzyskanie dostępu do sieci przez nieupoważnione osoby z zewnątrz ich sieci w ciągu ostatniego roku. |
25% (11%) | badanych z dużych organizacji, którzy ucierpieli z powodu ataku typu DoS w ostatnim roku. |
Dane porównawcze z 2008 roku podano w nawiasach.
Raport respondentów z małych organizacji przedstawia podobny wzrost ataków zewnętrznych. Dla przykładu, trzy razy więcej z nich zostało zaatakowanych przez wirusy niż w roku 2008.
Te ataki stwarzają zapotrzebowanie na zabezpieczanie dotyczące całego obszaru łańcucha dostaw. Obowiązkowe wymogi bezpieczeństwa są coraz bardziej powszechne. Więcej organizacji musi dostosować się do standardów takich jak PCI oraz wymagań rządowych.
Jednak obecnie, organizacje nie wydają się być dobrze przygotowane do spełnienia restrykcji związanych z szerszym wymaganiem asekuracji. W szczególności, organizacje, które korzystają z usług trzeciej strony, często nie wymagają tego samego poziomu ubezpieczenia, jakiego ich klienci domagają się od nich.
68% | badanych z dużych organizacji zostało poproszonych przez swoich klientów o wskazanie zgodności z normami bezpieczeństwa. |
61% | badanych z dużych organizacji zapewnia, że ich umowy z dostawcami trzeciej strony zawierają elementy dotyczące bezpieczeństwa. |
27% | badanych z dużych organizacji uzyskuje raporty od zewnętrznych dostawców na temat przypadków naruszenia bezpieczeństwa, które dotyczą ich danych. |
17% | badanych z bardzo poufnymi danymi przechowywanymi u zewnętrznego providera, który zapewnia, że dane są szyfrowane. |
Skuteczna ochrona przed zagrożeniami wymaga właściwego zachowania się wobec bezpieczeństwa
Wzrost incydentów spowodowany jest bardziej złożonymi zagrożeniami, które pojawiły się w ciągu ostatnich dwóch lat. Kontrole techniczne nie są już izolacją, która wystarcza do ochrony organizacji. Kombinacja zaangażowania ludzi, technologii i procesów jest obecnie wymagana.
W szczególności dotyczy to dużych organizacji, które doświadczyły wzrostu poważnych naruszeń poufności.
46% | badanych z dużych organizacji zatrudnia pracowników, którzy utracili lub spowodowali wyciek poufnych danych. |
45% | przypadków naruszenia poufności uznano za poważne lub bardzo poważne (w porównaniu z jedynie 15% innych rodzajów naruszeń). |
Zachęcające jest to, że liczba organizacji z opracowaną polityką bezpieczeństwa jest wyższa niż kiedykolwiek. Jednak, polityka bezpieczeństwa jest przydatna tylko wtedy, gdy pracownicy ją rozumieją i stosują się do jej założeń. Przekazanie informacji przez całość dużej organizacji stanowi duże wyzwanie. Tylko jedna na pięć organizacji wierzy, że jej polityka jest znana i poprawnie rozumiana.
90% (88%) | badanych z dużych organizacji posiada formalnie udokumentowaną politykę bezpieczeństwa. |
68% (65%) | badanych z dużych organizacji posiada wdrożony system ISO 27001 (częściowo lub całkowicie). |
52% (26%) | badanych z dużych organizacji zapewnia pracownikom ciągłą edukację z zakresu bezpieczeństwa. |
30% | badanych z dużych organizacji wierzy, że odpowiedzialność za posiadane dane i ich bezpieczeństwo są jasno określone. |
19% | badanych z dużych organizacji kontroluje co ich pracownicy umieszczają na serwisach społecznościowych. |
Dane porównawcze z 2008 roku podano w nawiasach.
Biorąc pod uwagę rosnący poziom naruszeń można zauważyć, że krytyczną kwestią niż kiedykolwiek wcześniej jest podnoszenie świadomości o bezpieczeństwie wśród wszystkich pracowników.
Powyższa publikacja została przygotowana w celu udzielenia ogólnych wskazówek osobom zainteresowanym, nie stanowi profesjonalnego doradztwa. Nie powinni Państwo podejmować działań opartych na informacjach zawartych w niniejszej publikacji bez uzyskania szczegółowego profesjonalnego doradztwa.
Badanie zostało przeprowadzone przez PricewaterhouseCoopers LLP.