Odata cu dezvoltarea accelerata a tehnologiei si cresterea riscurilor si amenintarilor cibernetice, securitatea informatiilor trebuie sa fie abordata prin strategii pe termen lungsi sa fie coordonata de echipe specializate si bine pregatite. Acest lucru implica bugete dedicate si o selectie atenta a ofiterilor responsabili cu securitatea informatiei, ei avand rolul dificil de a tine amenintarile cibernetice la distanta.
„In ultimii ani, importanta pozitiei de ofiter de securitate in contextul business-ului a crescut si in Romania; companii care pana acum cativa ani nu aveau asemenea pozitii deschise sau manifestau un interes limitat fata de acest subiect devin tot mai constiente de nevoia de a acoperi aceasta arie de importanta strategica”, spune Bogdan Petre, Manager Enterprise Risk Services (ERS), Deloitte. „Din experienta putem spune ca firmele mari (adesea, multinationale) sunt mult mai deschise catre aceste aspecte, in parte pentru ca existenta acestei functii se impune prin politica grupului. Desi, in general, ofiterul pentru securitatea informatiei a iesit din biroul sau si a devenit mai influent, abordarea companiilor in acest domeniu nu se ridica inca la nivelul riscurilor si amenintarilor existente si, in plus, bugetele alocate securitatii sunt limitate. In general, nici echipele IT, nici organizatiile in sine nu sunt perfect constiente de numarul si gravitatea incidentelor inregistrate, ele neputand astfel justifica investitiile sau cresterea bugetelor pentru managementul securitatii informatiei”.
Catalin Tiganila, Senior Manager ERS, adauga: „Complexitatea problemelor de securitate sporeste, astfel incat pana si metodele traditionale considerate in trecut ca fiind cele mai sigure sunt puse acum sub semnul intrebarii. De exemplu, un studiu recent lansat de Deloitte arata ca atat analistii, cat si directorii din companii mari din domeniile Tehnologie, Media si Telecomunicatii (TMT) considera ca peste 90% dintre parolele create de utilizator – chiar si cele considerate ca fiind foarte bune – sunt vulnerabile atacurilor de tip hacking si pot fi sparte in cateva secunde sau minute. Devin necesare elemente suplimentare de identificare, cum ar fi dispozitivele digitale de autentificare prin generare de coduri ( ex. „token”, „digi pass”, etc.), solicitarea de parole aditionale trimise prin SMS pe telefonul utilizatorului, utilizarea de amprente sau alte elemente de biometrie sau smart card-uri (de tipul „tap and go”).
Divizia Serviciilor de Risc din cadrul Deloitte (Enterprise Risk Services) ofera clientilor servicii de management al riscurilor si ii ajuta sa inteleaga riscurile specifice fiecarui domeniu, sa determine nivelele acceptabile de expunere, sa implementeze sisteme de control si monitorizare permanenta.
Echipa din Romania, cu peste 20 de consultanti, furnizeaza servicii de atestare si certificare a sistemelor IT, evaluarea controalelor generale IT, risc si conformitate contractuala, managementul riscului sistemelor IT, servicii de consultanta si audit pentru sistemele de management al securitatii informatiilor (SMSI), evaluarea vulnerabilitatilor tehnice si teste de penetrare si inginerie sociala. Clientii diviziei numara companii de top din industrii importante, precum si entitati din administratia publica.
O lume tot mai vigilenta
Potrivit celui mai recent studiu lansat de Deloitte Touche Tohmatsu Limited (DTTL) - TMT Global Security Study, directorii celor mai mari companii de profil din lume au trecut de la etapa de conformitate cu reglementarile si legislatia in vigoare la cea a implementarii unei strategii si a unui plan de securitate in 2013 ca principala masura de imbunatatire a securitatii informatiilor.
Tot mai multe organizatii inteleg ca securitatea informatiei reprezinta un aspect fundamental in afaceri, iar atentia lor se indreapta nu doar spre conceptul de securitate, ci si spre robustetea si stabilitatea in mediul virtual (cyber resilience).
Potrivit studiului, vigilenta scazuta in randul angajatilor si riscurile venite din partea partenerilor reprezinta vulnerabilitati importante de securitate; in acest sens, organizatiile TMT ar trebui sa investeasca in cursuri de pregatire si constientizare in domeniul securitatii informatiei, pentru ca angajatii sa contribuie la combaterea eficienta a riscurilor pe care le prezinta noile tehnologii.
„Intrebarea nu este daca vei fi atacat, ci cand vei fi atacat si cum vei raspunde”, spune Jacques Buith, lider global in domeniul securitatii in cadrul Deloitte. „Managementul eficient al riscurilor de securitate necesita un mix foarte solid intre preventie, detectie rapida si reactii prompte. A fi robust si stabil din punct de vedere cibernetic (cyber resilient) este la fel de important sau chiar mai important decat a fi sigur din punct de vedere cibernetic”.
Un efort unanim pentru cyber resilience
Rezultatele studiului indica o atitudine foarte optimista in ceea ce priveste protectia fata de amenintarile externe, 88% dintre directorii intervievati considerand ca firmele lor nu sunt vulnerabile. Cu toate acestea, la o analiza mai atenta, peste jumatate dintre ei recunosc ca s-au confruntat cu atacuri cibernetice in cursul anului anterior. In plus, mai putin de jumatate dintre respondenti au implementat un plan de reactie in cazul unei brese de securitate si numai 30% dintre ei considera ca partenerii externi isi asuma suficient de multa responsabilitate in ceea ce priveste securitatea. Totodata, 74% dintre cei 121 de respondenti au identificat bresele de securitate inregistrate de terti ca fiind in topul amenintarilor; pe locurile urmatoare se situeaza atacuri de tipul denial of service (menite sa supra-solicite destinatarii, ducand la blocarea/ refuzul serviciilor) si eroarea sau omisiunile angajatilor.
„Nu exista organizatie protejata in proportie de 100%”, subliniaza Andrei Ionescu, Director ERS Deloitte Romania. „Fiecare companie trebuie sa aiba metode clare de identificare si reactie in astfel de cazuri. Organizatiile nu trebuie sa lucreze doar cu partenerii lor de afaceri pentru a intelege si imbunatati politicile de securitate; ele trebuie sa implice factorii de legiferare, autoritatile de reglementare si agentiile de resort, sa fie dispuse sa impartaseasca informatii sensibile pentru a raspunde la provocarea globala privind riscul cibernetic”.
Alte amenintari importante identificate de respondenti sunt cele de tip advanced persistent threats (cu risc ridicat si manifestate in mod repetat - 64%) si hactivism-ul (63%) – un risc nou identificat in contextul acestui studiu, care combina aspectele de activism social sau politic cu activitatile de hacking. In timp ce peste jumatate dintre respondenti colecteaza doar informatii generale privind amenintarile, un procent mai mic (39%) colecteaza informatii specifice despre atacurile identificate si indreptate catre organizatia lor, industria, brandul sau clientii lor.
Oameni, tehnologie, dispozitive mobile
Una dintre cele mai mari amenintari este reprezentata de inovatia tehnologica si de oamenii care o folosesc; 70% dintre respondenti identifica gradul scazut de constientizare al angajatilor cu privire la securitatea informatiilor ca fiind o vulnerabilitate medie sau mare. Acesti angajati pot pune organizatia in pericol prin conversatiile pe care le au in locurile publice, raspunsurile pe care le dau la mesajele de posta electronica de tip phishing, permiterea accesului persoanelor neautorizate in interiorul organizatiei. in plus, studiul arata ca noile tehnologii amplifica aceasta problema. Pe de o parte, ele ofera facilitati imbunatatite ce se dovedesc utile in business, insa pe de alta parte implica noi riscuri de securitate intr-un ritm mult mai accelerat decat pot gestiona multe dintre organizatii. Un procent de 74% dintre respondenti identifica tehnologia mobila si tendinta utilizarii propriilor dispozitive ca fiind o preocupare continua, dar numai jumatate dintre organizatiile chestionate spun ca au implementat politici specifice pentru dispozitivele mobile.
Despre studiu
Obiectivul studiului DTTL TMT Global Security este sa ofere companiilor din industriile TMT o privire de ansamblu asupra provocarilor si amenintarilor de securitate si de confidentialitate a informatiilor cu care se confrunta sau se vor confrunta intr-un viitor apropiat. Raportul este realizat pe baza interviurilor cu directori de securitate din 121 de organizatii TMT de top din 38 de tari din intreaga lume. Studiul a urmarit sa atraga participanti din toate cele trei sectoare (Tehnologie, Media si Telecomunicatii) si respondenti care reprezinta companii de diferite dimensiuni din punctul de vedere al veniturilor.
Raportul integral poate fi accesat pe pagina oficiala:http://www.deloitte.com/tmtsecuritystudy.
