A nagyvállalatok felső vezetése általában jónak ítéli cége informatikai biztonságát – ám az incidensek száma mégis növekszik. Megalapozatlan az optimizmusuk?
A globális információbiztonsági incidensek növekedése, a csökkentett büdzsék és a biztonságvédelmi programok elhanyagolása oda vezetett, hogy manapság a vállalatoknak egyre több olyan biztonsági kockázattal kell szembesülniük, melyeket a belső szakértők nem látnak át, és emiatt nem is tudják konzisztensen kezelni. Az IT-vezetők többsége ennek ellenére biztos abban, hogy nyerőre áll az információbiztonsági játszmában. Meglehet, túlzott az optimizmusuk, hiszen egyre több akadályozó tényezővel kell(ene) számolniuk – legalábbis erre az eredményre jutott a PwC, a CIO Magazine és a CSO Magazine által közösen végzett 2013-as Globális információbiztonsági felmérés.
Az optimizmus forrása ■ A válaszadók bő kétharmada úgy véli, sikerült beépíteni a vállalati kultúrába a hatékony információbiztonsági viselkedést, ráadásul több mint 70 százalékuk biztos abban is, hogy a valós információbiztonsági tevékenységeik valóban hatékonyak. Magabiztosságukat táplálja az is, hogy a a válaszadók közel fele (42%) saját vállalkozását az információvédelmi stratégiák és implementációk éllovasának tekinti. Ha azonban ezt összevetjük azzal, hogy a felmérés készítői szerint mindössze 8 százalékuk értékelhető valójában piacvezetőnek az információbiztonság szempontjából, erősen megkérdőjelezhető a vállalatok magabiztossága.
„Igazán felkészültnek azok a cégek minősülnek, ahol van vezető információbiztonsági menedzser, aki folyamatosan informálja a felsővezetést, van egy átfogó információbiztonsági stratégia, mérték és értékelték az elmúlt év információbiztonsági intézkedéseinek hatékonyságát, valamint tudatában vannak a felmerült biztonságkockázati eseményeknek” – mondta ezzel kapcsolatban
Major Andrea, a PwC Magyarország cégtársa.
Több incidens – kevesebb pénz ■ Bár egyre több válaszadó (idén 13%) számol be 50 vagy még több információbiztonsági incidensről, kevesebb mint a felük (45%) számol azzal, hogy a biztonságra fordítható büdzséjük nő a következő 12 hónapban. 2010-ben még 52 százalékuk, 2011-ben pedig 51 százalékuk számolt a büdzsé növelésével. Úgy tűnik, hogy bár több tényező is befolyásolja az információbiztonsági büdzsé alakulását, a legnagyobb hatással a gazdasági környezet alakulása van rá, az információvédelemmel kapcsolatos aggodalmak csak a sokadik helyen szerepelnek. Érdekes ellenmondást mutat a felmérés: bár a felső vezetés tisztában van a probléma súlyával, a válaszadók fele, a biztonságért felelős vezetőknek pedig a 86%-a (!) épp őket tartja az információbiztonsági fejlesztések legfőbb akadályának.
A felmérésről
A 2013-as Globális információbiztonsági felmérést a PwC, a CIO Magazine
valamint a CSO Magazine online készítette 2012. február 1. április 15.
között. Az online kérdőíveket 128 országban 9 300 IT- és
információvédelmi, pénzügyi és egyéb felső vezető töltötte ki. A
válaszadók 40%-a észak-amerikai, 26%-a európai, 18%-a ázsiai, 14%-a
dél-amerikai és 2%-a közép-keleti és dél-afrikai vállalat vezető
beosztású alkalmazottja. A hiba határértéke kevesebb, mint 1%.
A működőképes biztonsági előírások kialakítását az is nehezíti, hogy egyre kevesebb védelmi eszközt használnak a vállalatoknál. Például a rosszindulatú kódokat, spyware-eket, adware-eket felismerő eszközöket használók aránya a 2008-as 84%-os tetőzés után 2012-ben 71%-ra esett vissza. Betörésvédelmi eszközöket pedig régebben a válaszadók kétharmada alkalmazott, ma azonban már csak fele.
Sok adat – lazább felügyelet ■ Úgy tűnik a big data korszak beköszöntével lazul a cégeknél az adatok felügyelete. Miközben a válaszadók 80 százaléka szerint fontos az ügyfelek és az alkalmazottak adatainak biztonsága, azt már sokkal kevesebben tudják, valójában mit is hordoznak ezek az adatok, és hogy hol tárolják őket a vállalati rendszerben. A megkérdezettek kevesebb mint 35 százaléka rendelkezik megfelelő ügyfél- és alkalmazotti adatokat tartalmazó adatleltárral, és csupán 31 százalékuknál van megfelelően nyilvántartva, hogy hol tárolják ezeket az adatokat, illetve hogy a tárolt adatokra milyen törvénykezés vonatkozik.
A csapás a felhőből érkezik ■ A közösségi média, a mobilkészülékek és a felhő szolgáltatások megjelenése cégen kívül és belül sokkal gyorsabban zajlik, mint az ezeket védő technológiák adaptációja. A BYOD (Bring Your Own Device – hozd a saját készülékedet) szemlélet rohamos terjedését a PwC kutatásai is igazolták: a fogyasztók 88 százaléka használja ugyanazt a mobil készülékét munkára és személyes célokra, ugyanakkor a vállalatoknak mindössze 45 százalékának van információbiztonsági stratégiája ezekre a személyes készülékekre vonatkozóan, és még kevesebben (37%) védekeznek is a nem kívánatos szoftverek ellen. (Ennél is rosszabb eredményre jutott egy másik,
korábban publikált felmérés a témában.)
Az elmúlt évekhez képest érzékelhetően emelkedett azon válaszadók száma, akik információbiztonsági szabályokat és eljárásokat alakítanak ki a mobilkészülékek, közösségi média, és felhőszolgáltatások alkalmazottak által történő használatára. Az arányuk azonban még mindig alacsony: a válaszadók 44 százalékának van mobil biztonsági stratégiája, de kevesebb mint 40 százalékuk alakított ki külön stratégiát a közösségi médiára és a felhőre.
A felmérés teljes, angol nyelvű szövege
pdf-ben itt érhető el.
