Studiul EY, aflat la cea de-a 16-a editie anuala, analizeaza nivelul de constientizare si actiunile intreprinse de companii in privinta amenintarilor cibernetice, pe baza raspunsurilor date de peste 1.900 de executivi de top, din 64 de tari din intreaga lume, provenind din 25 de industrii. Rezultatele studiului din acest an arata ca organizatiile continua sa investeasca masiv pentru a se proteja impotriva atacurilor cibernetice, ca numarul de brese de securitate este in crestere si ca nu se mai pune problema daca, ci cand va deveni o companie tinta unui atac cibernetic.
Pasi inainte facuti de organizatii
- 68% dintre respondenti considera continuitatea afacerii si redresarea in urma unui dezastru cea mai mare prioritate
În general, organizatiile mentioneaza continuitatea afacerii si redresarea dupa un dezastru ca fiind principala lor prioritate din perspectiva securitatii informatiilor in urmatoarele 12 luni. Riscurile cibernetice si amenintarile cibernetice, scurgerea de informatii si prevenirea pierderii de date, transformarea securizarii informatiei si monitorizarea conformitatii se situeaza pe urmatoarele pozitii din topul primelor lor cinci prioritati.
- 43% dintre organizatii spun ca bugetele alocate securitatii informatiilor sunt in crestere
Respondentii au mentionat cresteri de bugete alocate securitatii informatiei in cazul sectoarelor publice si guvernamentale, insa majoritatea au spus ca bugetele lor au ramas similare cu cele de anul trecut. Companiile mai mici, cu cifre de afaceri sub 10 milioane de USD, precum si afacerile din pietele emergente au raportat cele mai mari cresteri de bugete alocate, ca procent din bugetul lor general.
- 62% dintre organizatii nu si-au aliniat strategia de securitate a informatiilor la apetitul lor derisc sau la gradul lor detoleranta
Desi s-au inregistrat imbunatatiri in alinierea dintre strategiile de business si cele de IT, multe organizatii nu si-au ajustat strategia de IT la apetitul lor de risc sau la mediul de risc din prezent. Companiile de servicii financiare sunt cel mai bine aliniate, in timp ce organizatiile din pietele emergente sunt cel mai putin aliniate.
Aceasta lipsa de aliniere sugereaza ca, la stabilirea bugetelor sau anecesarului de resurse, prea putine organizatii iau in considerare riscurile cibernetice carora trebuie sa fiepregatitesa le raspunda sau sa le faca fata indiferent de costul pe care il implica, si mult prea multe organizatii privesc doar in interiorul organizatiei pentru a se asigura ca sunt protejate in mod corespunzator impotriva riscurilor cibernetice - o vedere care ar putea fi costisitoare atunci cand are loc un atac cibernetic.
- 45% considera ca si-au schimbat expunerea la risc din cauza PC-urilor din ce in ce mai portabile, in timp ce 70% apreciaza ca importanta securitatea smartphone-urilor si a tabletelor
Acum cativa ani, organizatiile nu isi puteauimaginaca angajatiilor isi vor folosi smartphone-urile personale si tabletelepentru indeplinirea sarcinilor de serviciu. De fapt, folosirea propriuluidispozitiv(BYOD) a patrunspe piatain 2009,iar adoptarea pe scara largas-aintamplat recent.În prezent, pe masura ce continuamsa auzim tot mai adesea desprebresele de securitate saude confidentialitate de catrecei care folosescsmartphone-uri sitablete, se pune intrebarea: cineesteresponsabil pentru dateledin smartphone-angajatorulsauangajatul? Mai mult, cat de des este actualizat un smartphone si de cate ori se primesc notificari de securitate?
- Departamentele de securitate a informatiei sunt inca in dificultate
Desi jumatate dintre respondenti spun ca intentioneaza sacreasca cu 5% sau mai mult bugetul alocat de companie securitatii informatiei in urmatoarele 12 luni, 65% declara ca au un buget insuficient pentru a putea opera la nivelul de eficienta cerut de business. Aceasta valoare se ridica la 71% in cazul organizatiilor cu cifre de afaceri de pana la 10 milioane de USD sau mai putin.
- Departamentele de securitate a informatiilor se confrunta cu lipsa de resurse umane calificate
Cu toate ca securitatea informatiilor se concentreaza asupra prioritatilor corecte, in multe cazuri, aceasta functie nu beneficiaza de resurse umane calificate sau de gradul de constientizare si de sprijinul necesar din partea executivilor pentru a le rezolva.
Aceasta diferenta dintre cerere si oferta este tot mai mare mai ales pe piata vanzatorilor, in cazul careia 50% dintre respondenti spun ca lipsa de resurse calificate din cadrul propriei companii este una dintre cele mai importante bariere pentru crearea de valoare. Anul acesta, 31% dintre respondenti mentioneaza ca lipsa de constientizare sau de sprijin din partea executivilor este o problema, comparativ cu 20% dintre respondentii care au indicat acest lucru in sondajul anterior.
“Lipsa bugetelor pentru atragerea talentelor calificate este o problema globala. Acest lucru este acut in mod deosebit in Europa, unde guvernele si companiile se straduiesc sa recruteze in echipele lor cele mai valoroase talente. Drept urmare, in timp ce organizatiile considera ca abordeaza prioritatile corecte, multe aspecte indica faptul ca ele nu dispun, de fapt, de suficiente resurse calificate pentru a-si rezolva problemele”, spune Carmen Adamescu, Director departamentul de consultanta IT, EY Romania.
“Sondajul din acest an indica faptul ca organizatiile se indreapta in directia buna, dar au inca multe de facut. Exista semne incurajatoare ca aceasta problema dobandeste atentie sporita la cel mai inalt nivel. În 2012, nici unul dintre specialistii in securitatea informatiilor intervievati nu raportau catre directorii executivi – in 2013, acest procent a sarit la 35%”, continua Carmen Adamescu.