A globális vállalatoknál egyre nagyobb a szakadék az új igények és a biztonsági fenyegetések kezelése között. Ennek oka az új technológiák bevezetése, a vállalat „digitálissá alakítása”, a felhő alapú számítástechnika, valamint a közösségi média egyre inkább mindent átszövő terjedése – olvasható az Ernst & Young által közzétett 14. éves Globális Információbiztonsági Felmérésben.
A világszerte 1700 szervezet részvételével készített felmérésben a válaszadók 72 százaléka vélte úgy, hogy nő a külső kockázatokból eredő fenyegetettség. Ugyanakkor csak mintegy egyharmaduk aktualizálta az információbiztonsági stratégiáját az elmúlt egy évben.
Tekintve, hogy a szervezetek 80 százaléka használ mobil táblagépeket, vagy elképzelhetőnek tartja azok használatát, és 61 százalékuk vesz igénybe, vagy tervezi a felhő alapú informatikai szolgáltatások bevezetését az elkövetkező egy éven belül. Úgy tűnik, a biztonsági kockázatok háttérbe szorulnak a gyorsan változó világhoz történő alkalmazkodás közben.
Szabó Gábor, az Ernst & Young Informatikai Kockázatkezelési Szolgáltatások vezetője elmondta: „Egyre több jelentős online szolgáltatásokat nyújtó, szoftveralapú vállalkozás és ágazat van. Mindenhol csak adatokat, információ halmazokat látunk. A megszűnő országhatárokat, a felhő alapú szolgáltatásokat és a felhőn belül létező üzleti modelleket látva a vállalatok azt kérdezik maguktól, hogyan reagáljanak az új és még újabb kockázatokra, és vajon módosítaniuk kell-e stratégiájukat. A rövid távú megoldásokat egy holisztikusabb, a vállalat hosszú távú, stratégiai céljait magában foglaló szemléletnek kell felváltania.”
Finanszírozás
Biztató, hogy a válaszadók 59 százaléka tervezi az információbiztonságra fordított összegek növelését az elkövetkező egy évben. Csupán 51 százalékuk mondta azonban, hogy dokumentált információbiztonsági stratégiával rendelkezik.
A megkérdezettek szerint az elkövetkező 12 hónapban a felhő alapú számítástechnikához kapcsolódó biztonsági kérdések a legfontosabb prioritások közé tartoznak a finanszírozás tekintetében. A válaszadók összességében második éve az üzletfolytonosságot nevezték meg a legfőbb finanszírozási prioritásként.
Mobil táblagépek
A táblagépek és az okostelefonok használata a második helyen szerepel a technológiai kihívások fontossági listáján: a megkérdezettek több mint fele nehéz, vagy nagyon nehéz kihívásként jellemezte. Az új, mobiltechnológiák jelentette kockázatok csökkentésére szolgáló intézkedések közül a szabályzatok módosítása és a tájékoztató programok állnak az élen. A biztonsági technikák és szoftver alkalmazása még ritka. A vállalatoknak kevesebb mint fele (47 százalék) használ titkosítást jelenleg.
A felhő és a bizalom
A felhő alkalmazása melletti érvek ellenére sok szervezet még nincs tisztában a felhő jelentésével, és egyre nagyobb erőfeszítéseket tesz annak érdekében, hogy jobban megismerje annak következményeit és kockázatait. 2011-ben a megkérdezettek 48 százaléka sorolta a felhő alapú számítástechnikát a nehéz, vagy nagyon nehéz kihívások közé, és kevesebb mint 50 százaléka vezetett be bármilyen óvintézkedést a kapcsolódó kockázatok mérséklésére. A leggyakrabban alkalmazott intézkedés a felhő alapú szolgáltatókkal való szerződéskötés szigorúbb ellenőrzése. Azonban ezt is csak a válaszadók 20 százaléka alkalmazza, ami a bizalom magas – esetleg túlzó – szintjére utal.
„Úgy tűnik, hogy egyértelmű útmutatás híján sok szervezet elégtelen információk alapján hoz döntéseket, és vagy túl korán, a kockázatok körültekintő megfontolása nélkül költözik át a felhőbe, vagy teljesen elkerüli. Bár sok szervezet már áttért a felhő alapú működésre, ezt sokan közülük vonakodva tették” – mondja Szabó.
A válaszadók közel 90 százaléka előnyben részesíti a külső tanúsítást, és közel felük (45 százalék) mondta, hogy a tanúsításnak egyetemesen elfogadott standardon kell alapulnia. „Vannak ugyan olyan szerveződések, amelyek ezért a célért dolgoznak, de nem elegendő külső szervezetekre támaszkodni a felhő alapú számítástechnikához kapcsolódó összes kockázat kezeléséhez” – magyarázza Szabó. „Ezek a kockázatok jelentős változásokat eredményezhetnek a szervezet működése szempontjából, és kezelésükhöz formális vállalati és informatikai kockázatkezelési eljárásokra van szükség.”
Közösségi média
A legtöbb válaszadó (72 százalék) szerint a kívülről érkező, rosszindulatú támadások jelentik a legnagyobb kockázatot. Az ilyen beavatkozásokhoz felhasználhatják a közösségi médián keresztül a kiválasztott személyeknek küldött, célzott adathalász üzenetekből nyert információkat is.
A közösségi média jelentette potenciális kockázat ellen a szervezetek a jelek szerint keményen próbálnak fellépni. Több mint felük (53 százalék) az érintett oldalakhoz való hozzáférés letiltásával reagált, ahelyett, hogy megpróbálna alkalmazkodni a világban végbemenő változásokhoz, és az egész vállalatra kiterjedő intézkedéseket vezetne be.
Első számú prioritás
A felmérés eredményei szerint csak a válaszadók 12 százalék-ánál szerepel információbiztonsági téma minden igazgatósági ülés napirendjén, és kevesebb mint a fele (49 százalék) gondolta úgy, hogy az információbiztonsági szervezete megfelel a vállalat igényeinek.
Szabó szerint: „Nem elég pusztán reagálni a történésekre: gyakorlatias, proaktív cselekvésre van szükség. Az igazgatóságnak komolyabban kell vennie az információbiztonságot, és szükség van egy olyan, pontosan definiált stratégiára, amely a felhőben és azon kívül is támogatja a vállalat működését. A legtöbb vállalatnak még sokat kell tennie azért, hogy ez megvalósuljon.
Az informatikai kockázatok hatékony kezeléséhez a szervezeteknek átfogó képpel kell rendelkezniük e terület egészéről. Ez a holisztikus látásmód nyújthat kiindulópontot a vállalatoknak a jelenlegi és a jövőben felmerülő informatikai kockázatok és kihívások felismeréséhez és kezeléséhez.”
