Cele mai multe organizatii (67%) se confrunta cu cresterea nivelului de risc la adresa securitatii informatiilor interne, iar peste o treime din ele (37%) nu au informatii in timp real despre riscurile cibernetice care sa le ajute sa raspunda acestor amenintari, se arata in raportui anual EY privind securitatea informatiilor, Get Ahead of Cybercrime. Raportul EY are la baza un sondaj la care au participat 1.825 de organizatii din 60 de tari.
Companiile sunt lipsite de agilitatea, bugetul si competentele necesare pentru remedierea vulnerabilitatilor cunoscute si pentru o pregatire eficienta pe zona de securitate informatica.
43% dintre respondenti au declarat ca bugetul total alocat de catre organizatia lor securitatii informatiei va ramane aproximativ la fel in urmatoarele 12 luni, in ciuda cresterii numarului de amenintari, fapt care reprezinta doar o imbunatatire minora a situatiei fata de 2013, cand 46% au declarat ca bugetele lor nu se vor modifica.
Mai mult de jumatate dintre respondenti (53%) au afirmat ca lipsa resurselor umane calificate reprezinta unul dintre principalele obstacole cu care se confrunta in implementarea unui program eficient de securitate a informatiilor din organizatie si doar 5 la suta dintre companiile respondente dispun de o echipa de investigare si analiza a amenintarilor, care include analisti dedicati. Aceste date marcheaza mici diferente fata de anul 2013 cand 50% din respondenti subliniau lipsa resurselor calificate iar 4% declarau ca dispun de o echipa de investigare si analiza la amenintari care include analisti dedicati.
"Angajatii nepasatori si in necunostinta de cauza " reprezinta principala vulnerabilitate cu care se confrunta companiile, mentionata de 38% dintre respondenti, iar "arhitectura sau sistemul invechit de securitate a informatiilor" si "folosirea cloud computing-ului" ocupa pozitiile doi si trei, cu 35%, respectiv 17%.
"Furtul de informatii financiare", "perturbarea si distorsionarea activitatii organizatiei" si "furtul de proprietate intelectuala sau de date" reprezinta principalele trei amenintari (mentionate si ca prioritati de 28%, 25% si, respectiv, 20% dintre respondenti).
Studiul din acest an arata ca organizatiile trebuie sa actioneze mult mai eficient in anticiparea atacurilor cibernetice intr-un mediu in care nu mai este posibila prevenirea tuturor breselor de securitate, iar amenintarile provin din surse exterioare tot mai diverse si mai bine finantate.
Carmen Adamescu, Executive Director, EY Romania, declara: "Organizatiile trebuie sa dezvolte pe viitor o strategie care sa includa si gestionarea riscurilor si sa inteleaga cum sa anticipeze criminalitatea informatica. Atacurile cibernetice au potentialul de a provoca daune profunde - nu doar din punct de vedere financiar, ci si in termeni de brand si reputatie, de pierdere a avantajelor competitive si de nerespectare a normelor si reglementarilor. Organizatiile trebuie sa faca trecerea de la o pozitie reactiva la una proactiva, si sa se transforme din tinte usoare ale criminalilor cibernetici in adversari redutabili ai acestora".
Raportul EY incurajeaza organizatiile sa ia in considerare valoarea adaugata pe care o poate aduce companiei zona de securitate a informatiilor si sa o integreze in activitatea principala de business. O astfel de abordare presupune mentinerea organizatiei intr-o permanenta stare de pregatire, de anticipare a zonelor de unde ar putea aparea noi amenintari si de renuntarea definitiva la mentalitatea de "victima" care genereaza o stare perpetua de anxietate.
Principalele recomandari desprinse din raport pentru a se atinge acest nivel:
- O stare permanenta de alerta fata de noi amenintari: Leadership-ul organizatiei ar trebui sa considere riscurile si amenintarile legate de atacurile cibernetice drept un aspect esential in desfasurarea activitatii de business si sa puna in practica un proces dinamic de luare a deciziilor, care sa permita trecerea rapida la actiuni de prevenire.
- Intelegerea surselor potentiale de amenintare: Organizatiile sa-si defineasca un orizont extins si bine tintit in privinta amenintarilor cibernetice si a modului in care acestea ar putea afecta organizatia si sa investeasca in studii privind aceste amenintari.
- Cunoasterea celor mai valoroase active: Necesitatea de a exista o intelegere comuna la nivelul organizatiei cu privire la clasificarea activelor, in functie de valoarea cea mare pentru business, si asupra modului in care aceste active pot fi prioritizate si protejate.
- Concentrare pe gestionarea incidentelor si a situatiilor de criza: Organizatiile ar trebui sa isi exerseze in mod regulat capacitatea de raspuns in situatii de criza sau incidente.
- Invatare si evolutie: Analizarea detaliata a incidentelor de criminalitate informatica reprezinta un element cheie al intregului puzzle. Organizatiile ar trebui sa studieze cu atentie datele culese in urma incidentelor si atacurilor informatice, sa mentina si sa dezvolte noi relatii de colaborare si sa-si innoiasca in mod regulat strategia.
Carmen Adamescu, Executive Director, EY Romania adauga: "Dincolo de amenintarile interne, organizatiile sunt nevoite sa aiba in vedere intregul ecosistem de business si modul in care relatiile dezvoltate cu tertii si cu furnizorii pot influenta zona de securitate a informatiilor. Pentru o organizatie devin vizibile rezultatele investitiilor in securitatea informatiilor doar dupa atingerea unui nivel avansat de pregatire. Prin asezarea tuturor elementelor in ansamblul sistemului de securitate si asigurarea ca acesta este capabil sa se adapteze la schimbare, companiile vor reusi sa fie cu un pas inaintea infractorilor cibernetici, adaugand capabilitati inainte ca acestea sa fie necesare si pregatindu-se in fata posibilelor amenintari inainte ca acestea sa apara."
