A globális információbiztonsági incidensek növekedése, a csökkentett büdzsék és a hanyatló biztonságvédelmi programok következtében a vállalatoknak egyre több olyan biztonsági kockázattal kell szembesülniük, melyeket nem értenek megfelelően és amelyeket nem konzisztens módon kezelnek. A vezetők világszerte magabiztosak, hogy megnyerik az információbiztonság magas kockázatú játszmáit. Teszik mindezt annak ellenére, hogy az ezt akadályozó tényezők száma egyre csak növekszik – mutatja a PwC, a CIO és a CSO magazin által közösen végzett 2013-as Globális információbiztonsági felmérése.

Betörésvédelmi eszközöket régebben még a válaszadók kétharmada alkalmazott, mostanra már azonban csak ennek fele ez az arány.

Már nem hatékonyak a meglévő modellek

„A múlt évtized információbiztonsági modelljei már nem hatékonyak. A manapság rohamosan megjelenő fenyegetések olyan veszélyt jelentenek, mellyel kapcsolatban nem várható enyhülés, így a vállalkozások nem bízhatják magukat a véletlenre”- mondta Mark Lobel, a PwC tanácsadási részlegének igazgatója. „ Azoknak a vállalatoknak, akik vezetők szeretnének lenni az információbiztonság területén, fel kell készülniük, hogy egy új játék kezdődött, amelynél a jó képességek és a stratégia vezetnek a győzelemhez a felmerülő fenyegetések ellen.”

A felmérés azt mutatja, hogy a világ vezetőinek általános hangulata meglehetősen optimista. A válaszadók többsége úgy nyilatkozott, hogy teljes mértékben vagy némileg magabiztosnak érzi magát azzal kapcsolatban, hogy sikerült beépíteni a vállalati kultúrába a hatékony információbiztonsági viselkedést (68%), továbbá meglehetősen, illetve némiképp biztosak abban, hogy a valós információbiztonsági tevékenységeik igazán hatékonyak (több mint 70%). Míg a válaszadók közel fele (42%) saját vállalkozását az információvédelmi stratégiák és implementációk éllovasának tekinti, a kutatás kimutatta, hogy mindössze 8%-uk értékelhető valójában piacvezetőnek az információbiztonság szempontjából.

„Igazán felkészültnek azok a cégek minősülnek, ahol van vezető információbiztonsági menedzser, aki folyamatosan informálja a felsővezetést, van egy átfogó információbiztonsági stratégia, mérték és értékelték az elmúlt év információbiztonsági intézkedéseinek hatékonyságát, valamint tudatában vannak a felmerült biztonságkockázati eseményeknek” – tette hozzá Major Andrea, a PwC Magyarország cégtársa.

Annak ellenére, hogy egyre több a válaszadó, aki 50 vagy még több információbiztonsági incidensről számol be (13%), kevesebb mint a felük (45%) várja büdzséjük növelését a következő 12 hónapban, és ez az arány egyre csökkenő ( 2010-ben még 52%, 2011-ben pedig 51%-uk nyilatkozott így). Míg több változó befolyásolja az információbiztonsági büdzsét, legnagyobb hatással a gazdasági környezet alakulása van rá, az információvédelemmel kapcsolatos aggodalmak messze elmaradnak e mögött.

Fejétől bűzlik a hal?

Habár úgy tűnik, hogy a felsővezetés tisztában van a problémával, a válaszadók fele, beleértve a biztonságért felelős vezetők 86%-át, mind a felsővezetést tartja az információbiztonsági fejlesztések legfőbb akadályának.

A felmérés kimutatta, hogy a működőképes biztonsági gyakorlat gyakorta amiatt akadályozott, mert a telepített alapvető információbiztonsági és személyi adatvédelmi eszközök száma csökkent. A rosszindulatú kódokat, spyware-eket, adware-eket felismerő eszközöket használók aránya a 2008-as 84%-os tetőzés után 71%-ra esett vissza. Betörésvédelmi eszközöket pedig régebben még a válaszadók kétharmada alkalmazott, mostanra már azonban csak ennek fele ez az arány.

A kutatás arra is rámutatott, hogy manapság a Big Data korában, a vállalatok lazábban felügyelik adataikat, mint régebben. Míg több mint 80% véli úgy, hogy az ügyfelek és az alkalmazottak adatainak biztonsága fontos, sokkal kevesebben tudják, mit hordoznak ezek az adatok valójában, és hogy hol tárolják őket. A megkérdezettek közül, kevesebb mint 35% jelezte, hogy rendelkeznek megfelelő ügyfél- és alkalmazotti adatokat tartalmazó adatleltárral,  és csupán 31%-uknál van megfelelően számon tartva, hogy hol tárolják ezeket az adatokat, illetve hogy a tárolt adatokra milyen törvénykezés vonatkozik.

„A telepített biztonsági és adatvédelmi eszközök csökkenő száma olyan, mintha profi bajnokságra mennénk amatőr sportfelszereléssel” – folytatta Lobel a PwC-től. „A behatolók kizsákmányolják az „üzleti ökoszisztémát”, károsítván ezzel a vállalat hírnevét, pénzügyi helyzetét és versenyhelyzetét. A mai információbiztonsági vezetőknek tudomásul kell venniük, hogy ha professzionális szinten akarnak játszani, akkor hatékonyabb információbiztonságra van szükségük. A piaci akadályok igazi túlélője mindig felkészült, és gyorsan reagál az információbiztonsági fenyegetésekre.”

A közösségi médiára, mobiltelefonokra és a felhőre irányuló fenyegetések

Miután a közösségi média, a mobilkészülékek valamint a felhő általánossá váltak mind a cégeken kívül, mind cégeken belül, a technológia adaptáció gyorsabban fejlődik, mint a biztonságvédelem. A PwC kutatásából kiderült, hogy a fogyasztók 88%-a használja mobil készülékét munka és személyes célokra egyaránt, ugyanakkor a vállalatoknak csak 45%-ának van információbiztonsági stratégiája a személyes készülékekre vonatkozóan a munkahelyen, és 37%-uk védekezik a nem kívánatos szoftverek ellen.

Annak ellenére, hogy emelkedett azon válaszadók száma, akik információbiztonsági intézkedéseket tesznek, eljárásokat alakítanak ki a mobilkészülékek, közösségi média, és felhőszolgáltatások alkalmazottak által történő használatára vonatkozóan, csak 44% vallotta, hogy mobil biztonsági stratégiával rendelkeznek, és kevesebb mint 40% -nak van külön stratégiája közösségi médiára és a felhőre. Ezek a számok visszavetik az egyes technológiák adaptációinak mutatóit is.

A felmérés ide kattintva érhető el.