Információbiztonság: megalapozott az optimizmus?

A megkérdezettek közel fele saját vállalkozását az információbiztonság éllovasának látja, miközben az incidensek száma csak növekszik, állítja a PwC, a CIO és CSO magazin friss kutatása.

A globális információbiztonsági incidensek növekedése, a csökkentett büdzsék és a hanyatló biztonságvédelmi programok következtében a vállalatoknak egyre több olyan biztonsági kockázattal kell szembesülniük, melyeket nem értenek megfelelően és amelyeket nem konzisztens módon kezelnek. A vezetők világszerte magabiztosak, hogy megnyerik az információbiztonság magas kockázatú játszmáit. Teszik mindezt annak ellenére, hogy az ezt akadályozó tényezők száma egyre csak növekszik – mutatja a PwC, a CIO és a CSO magazin által közösen végzett 2013-as Globális információbiztonsági felmérése.

„A múlt évtized információbiztonsági modelljei már nem hatékonyak. A manapság rohamosan megjelenő fenyegetések olyan veszélyt jelentenek, mellyel kapcsolatban nem várható enyhülés, így a vállalkozások nem bízhatják magukat a véletlenre”- mondta Mark Lobel, a PwC tanácsadási részlegének igazgatója „ Azoknak a vállalatoknak, akik vezetők szeretnének lenni az információbiztonság területén, fel kell készülniük, hogy egy új játék kezdődött, amelynél a jó képességek és a stratégia vezetnek a győzelemhez a felmerülő fenyegetések ellen.”

A felmérés azt mutatja, hogy a világ vezetőinek általános hangulata meglehetősen optimista. A válaszadók többsége úgy nyilatkozott, hogy teljes mértékben vagy némileg magabiztosnak érzi magát azzal kapcsolatban, hogy sikerült beépíteni a vállalati kultúrába a hatékony információbiztonsági viselkedést (68 százalék), továbbá meglehetősen, illetve némiképp biztosak abban, hogy a valós információbiztonsági tevékenységeik igazán hatékonyak (több mint 70 százalék). Míg a válaszadók közel fele (42 százalék) saját vállalkozását az információvédelmi stratégiák és implementációk éllovasának tekinti, a kutatás kimutatta, hogy mindössze 8 százalékuk értékelhető valójában piacvezetőnek az információbiztonság szempontjából.

„Igazán felkészültnek azok a cégek minősülnek, ahol van vezető információbiztonsági menedzser, aki folyamatosan informálja a felsővezetést, van egy átfogó információbiztonsági stratégia, mérték és értékelték az elmúlt év információbiztonsági intézkedéseinek hatékonyságát, valamint tudatában vannak a felmerült biztonságkockázati eseményeknek” – tette hozzá Major Andrea, a PwC Magyarország cégtársa.

Annak ellenére, hogy egyre több a válaszadó, aki 50 vagy még több információbiztonsági incidensről számol be (13 százalék), kevesebb mint a felük (45 százalék) várja büdzséjük növelését a következő 12 hónapban, és ez az arány egyre csökkenő ( 2010-ben még 52 százalék, 2011-ben pedig 51 százalékuk nyilatkozott így). Míg több változó befolyásolja az információbiztonsági büdzsét, legnagyobb hatással a gazdasági környezet alakulása van rá, az információvédelemmel kapcsolatos aggodalmak messze elmaradnak e mögött.
Habár úgy tűnik, hogy a felsővezetés tisztában van a problémával, a válaszadók fele, beleértve a biztonságért felelős vezetők 86 százalékát, mind a felsővezetést tartja az információbiztonsági fejlesztések legfőbb akadályának.

A felmérés kimutatta, hogy a működőképes biztonsági gyakorlat gyakorta amiatt akadályozott, mert a telepített alapvető információbiztonsági és személyi adatvédelmi eszközök száma csökkent. A rosszindulatú kódokat, spyware-eket, adware-eket felismerő eszközöket használók aránya a 2008-as 84 százalékos tetőzés után 71 százalékra esett vissza. Betörésvédelmi eszközöket pedig régebben még a válaszadók kétharmada alkalmazott, mostanra már azonban csak ennek fele ez az arány.

A kutatás arra is rámutatott, hogy manapság a Big Data korában, a vállalatok lazábban felügyelik adataikat, mint régebben. Míg több mint 80 százalék véli úgy, hogy az ügyfelek és az alkalmazottak adatainak biztonsága fontos, sokkal kevesebben tudják, mit hordoznak ezek az adatok valójában, és hogy hol tárolják őket. A megkérdezettek közül, kevesebb mint 35 százalék jelezte, hogy rendelkeznek megfelelő ügyfél- és alkalmazotti adatokat tartalmazó adatleltárral,  és csupán 31 sdzázalékuknál van megfelelően számon tartva, hogy hol tárolják ezeket az adatokat, illetve hogy a tárolt adatokra milyen törvénykezés vonatkozik.

„A telepített biztonsági és adatvédelmi eszközök csökkenő száma olyan, mintha profi bajnokságra mennénk amatőr sportfelszereléssel” – folytatta Lobel a PwC-től. „A behatolók kizsákmányolják az „üzleti ökoszisztémát”, károsítván ezzel a vállalat hírnevét, pénzügyi helyzetét és versenyhelyzetét. A mai információbiztonsági vezetőknek tudomásul kell venniük, hogy ha professzionális szinten akarnak játszani, akkor hatékonyabb információbiztonságra van szükségük. A piaci akadályok igazi túlélője mindig felkészült, és gyorsan reagál az információbiztonsági fenyegetésekre.”

Közösségi média, felhő

Miután a közösségi média, a mobilkészülékek valamint a felhő általánossá váltak mind a cégeken kívül, mind cégeken belül, a technológia adaptáció gyorsabban fejlődik, mint a biztonságvédelem. A PwC kutatásából kiderült, hogy a fogyasztók 88 százaléka használja mobil készülékét munka és személyes célokra egyaránt, ugyanakkor a vállalatoknak csak 45 százalékának van információbiztonsági stratégiája a személyes készülékekre vonatkozóan a munkahelyen, és 37 százalékuk védekezik a nem kívánatos szoftverek ellen.

Annak ellenére, hogy emelkedett azon válaszadók száma, akik információbiztonsági intézkedéseket tesznek, eljárásokat alakítanak ki a mobilkészülékek, közösségi média, és felhőszolgáltatások alkalmazottak által történő használatára vonatkozóan, csak 44 azázalék vallotta, hogy mobil biztonsági stratégiával rendelkeznek, és kevesebb mint 40 százalékának van külön stratégiája közösségi médiára és a felhőre. Ezek a számok visszavetik az egyes technológiák adaptációinak mutatóit is.