In plus, 31% dintre companii au mentionat o crestere a numarului de incidente de securitate in 2012, comparativ cu anul precedent, in timp ce pentru 59% numarul de incidente a ramas aceleasi. Pe masura ce frecventa si natura amenintarilor se intensifica, numarul incidentelor de securitate sporeste, iar potentialul impact al breselor de securitate devine tot mai puternic.
Amenintarile externe nu sunt singura bresa de securitate cu care se confrunta organizatiile globale. Pierderea accidentala de date de catre angajati este, de asemenea, in crestere. Managementul eficient, instruirea si informarea pot diminua pierderile, precum si luarea de masuri fizice pentru a preveni actele criminale. De cele mai multe ori, insa, cea mai dificila este prevenirea actelor deliberate de distrugere, din motive personale.
In ceea ce priveste amenintarile la adresa datelor guvernamentale, statisticile arata clar o escaladare fara precedent a pericolului cu care se confrunta statele din intreaga lume. Unii experti in securitate afirma ca orice speranta de a inversa aceasta tendinta va necesita "o paradigma cu totul noua" in securitatea IT. Spre exemplu, Biroul Guvernamental de Contabilitate din SUA a raportat ca accesul neautorizat la informatii personale a crescut cu 19% incepand din 2010 si pana in 2011. De cele mai multe ori, victimele acestor incalcari nu sunt la curent cu acest fapt timp de luni de zile.
Nu exista resurse suficiente si nici competente adecvate
“<<Prea multa munca, prea putine resurse>>este o sintagma bine-cunoscuta, mai ales in actualele conditii de restrangere a cheltuielilor. Insa lipsa resurselor este doar o parte a problemei. Securitatea informatiilor nu necesita in acest moment doar mai multe resurse, ci un plan inteligent care sa tina cont de aceasta amenintare, si, mai ales, oameni cu aptitudini si pregatire specifice pentru a raspunde schimbarilor rapide din acest mediu de risc”, comenteaza Carmen Adamescu, Director departamentul de Asistenta privind riscurile IT, Ernst & Young Romania.
43% dintre companiile care au raspuns sondajului au indicat ca lipsa resurselor calificate reprezinta principala bariera in buna functionare a securitatii informatiilor. Aceasta cifra este fara indoiala legata de constrangerile bugetare. Doar 22% dintre respondenti planifica bugete mai mari pentru acest domeniu in urmatoarele 12 luni.
Odata cu proliferarea dispozitivelor mobile, 37% dintre respondenti considera ca neglijenta angajatilor este amenintarea care creste cel mai mult expunerea la risc a organizatiei. De asemenea, numarul de incidente reale cauzate de raspandirea involuntara a datelor de catre angajati a crescut cu 25% in ultimul an. Respondentii indica faptul ca intentioneaza sa investeasca mai mult in training-ul angajatilor pentru a evita incidentele, insa aceasta suma va reprezenta totusi doar aproximativ 5% din bugetul total pentru securitatea informatiilor.
Social media: o provocare ce nu mai poate fi ignorata
Odata considerata tabu de catre organizatii, social media este acum o componenta-cheie pentru dezvoltarea de produse, pentru colectarea feedback-ului si pentru interactiunea cu clientii. Social media a reinventat relatia dintre organizatii, clienti, angajati, furnizori si autoritati de reglementare. De asemenea, a scurtat procese care durau zile sau saptamani intregi, pana la cateva ore sau minute.
Alaturi de multele oportunitati pe care social media le genereaza, exista insa si multe provocari noi, cum ar fi securitatea datelor, probleme de confidentialitate, cerinte de reglementare si de conformitate, aspecte asupra utilizarii timpului de catre angajati si instrumentele de afaceri pentru gestionarea social media. Studiul Ernst & Young arata ca 38% dintre organizatii nu au o abordare coordonata pentru a utiliza social media in cadrul organizatiei lor. Rezultatul este o crestere generala a riscului si o capacitate limitata de a exploata pe deplin canalele de social media in viitor.
Organizatiile cu o abordare formala in utilizarea social media aleg de cele mai multe ori sa diminueze riscurile prin limitarea sau interzicerea accesului la site-uri de social media (45%), adaptarea politicilor (45%) si implementarea unor programe de informare (40%).
Beneficiile si pericolele tehnologiei mobile
Avansarea tehnologiei si oportunitatile de afaceri asociate acesteia au crescut foarte mult ratele de adoptare a tehnologiei mobile. Conform sondajului, utilizarea tabletei in scop de afaceri s-a dublat in 2012 comparativ cu anul precedent. De la 20%, in 2011, 44% dintre organizatii permit acum utilizarea de tablete furnizate de companie sau a celor personale la locul de munca.
Pe masura ce mobilitatea fortei de munca continua sa creasca, expresia out-of-office devine tot mai putin relevanta. In acelasi timp, cresterea dramatica a fluxului de informatii in interiorul si in afara organizatiilor devine tot mai greu de controlat. De aceea, pe langa ajustarea politicilor si informare, companiile cauta informatii cu privire la capacitatile si designul produselor software de securitate pentru dispozitive mobile care sunt disponibile in piata; cu toate acestea, adoptarea tehnicilor si software-urilor de securitate din aceasta piata in crestere rapida este inca scazuta. Spre exemplu, tehnicile de criptare sunt utilizate de mai putin de jumatate (40%) dintre organizatii.
BYOD — bring your own device
Vanzarile de telefoane inteligente si dispozitive mobile le depasesc pe cele de PC-uri, iar utilizarea lor la locul de munca este in crestere puternica, motiv pentru care organizatiile trebuie sa analizeze in detaliu problemele de securitate a informatiilor si datelor care decurg de aici.
Sprijinirea utilizarii dispozitivelor la locul de munca ajuta nu doar la scaderea costurilor angajatilor, dar elimina in acelasi timp si o parte din cheltuielile asociate achizitiilor masive de telefoane mobile ale companiei. Aceasta integrare a dispozitivelor personale cu acces la datele companiei poate contribui la reducerea costurilor colective, cresterea productivitatii angajatilor, dar si a creativitatii.
Riscurile sunt insa pe masura. Intensificarea BYOD presupune ca angajatii sa fie capabili sa isi faca singuri upgrade-ul acestor dispozitive fara implicarea functiei IT. Acest lucru poate avea un impact atat asupra functionarii, cat si a securitatii tuturor aplicatiilor corporative instalate pe dispozitiv. Gestionarea atenta a dispozitivelor mobile devine astfel foarte importanta. Organizatiile ar trebui sa ia in considerare urmatoarele activitati atunci cand sprijina BYOD:
1. Sa instaleze aplicatii care permit oprirea camerelor de luat vederi sau blocarea site-urilor de social media prin care se pot scurge informatii. in schimbul acestor constrangeri insa, companiile trebuie sa contribuie la achizitionarea dispozitivului respectiv pentru angajat.
2. Securizarea retelei companiei prin existenta unei retele paralele separate, care sa permita angajatilor utilizarea dispozitivelor personale.
3. Mentinerea securitatii dispozitivelor impotriva virusilor, atentatelor de hacking sau accesului persoanelor straine.
Scurgerile de date
Digitalizarea la nivel mondial a produselor, serviciilor si proceselor are un impact profund asupra organizatiilor. Disponibilitatea unor cantitati imense de date creeaza oportunitati fantastice pentru a obtine valoare si perspectiva. Organizatiile care stapanesc big data management pot culege recompense semnificative si sa se distanteze de concurentii lor.
In ultimii cinci ani, organizatiile s-au confruntat cu o crestere a volumului scurgerilor de date atat in mod intentionat cat si neintentionat. Raportul Ernst & Young arata ca cele mai multe organizatii au definita o politica in ceea ce priveste securitatea informatiilor (72%) iar tot multe dintre ele (68%) au pus in practica programe de informare. Cu toate acestea, adoptarea tehnologiei de prevenire a scurgerilor de date, ramane relativ scazuta (38%).
„Multe organizatii au in continuare dificultati in identificarea breselor de securitate. Incidentele cibernetice sunt cel mai adesea tinute secrete, clientii si factorii de decizie nefiind la curent in legatura cu frecventa, impactul si cauzele atacurilor. Exista lacune in cadrul de reglementare al raportarii incidentelor, atat la nivel national, cat si la nivelul Uniunii Europene. Mai mult decat atat, ne confruntam cu un schimb infim de informatii intre autoritatile nationale in legatura cu lectiile invatate si practicile de conducere, in ciuda caracterului global al amenintarilor de acest gen”, concluzioneaza Carmen Adamescu.