Bezpieczne informacje –bezpieczna przyszłość - pwc.pl · W ostatnich latach zagrożenia dla...

Bezpieczne informacje– bezpieczna przyszłość

Kluczowe obserwacjez wyników ankiety „Globalnystan bezpieczeństwa informacji 2014”(The Global State of Information Security® Survey 2014)

www.pwc.pl/bezpieczenstwo-biznesu

Po raz pierwszywyniki dlaPolski!

grudzień 2013 r.

Szanowni Państwo,

Bezpieczeństwo informacji i systemów

– powszechnie określane terminem

„cyberbezpieczeństwo” – jest coraz

bardziej istotnym elementem działalności

biznesowej. Przetwarzanie w chmurze,

mobilność, „internet rzeczy”, sieci

społecznościowe są znacznie częściej

obecne w naszym życiu. Postanowiliśmy

przyjrzeć się tym trendom w naszym

dorocznym badaniu stanu

bezpieczeństwa informacji na świecie,

które PwC przeprowadza wspólnie

z magazynami CIO i CSO.

W tegorocznej edycji po raz pierwszy

prezentujemy wyniki badania dotyczące

polskiego rynku na tle rezultatów

globalnych.

Z przyjemnością oddajemy w Państwa

ręce nasz raport. Zapraszamy do lektury

i zachęcamy do kontaktu z naszymi

ekspertami.

Piotr UrbanPartner

Lider PwC Risk

Assurance

Rafał JaczyńskiLider

PwC Cyber Security

Spis treści

Główne obserwacje 6

Szczegółowe omówienie wyników 7

Dzisiejsze zagrożenia, wczorajsze strategie 11

Słaba obrona 14

Przygotowując się na nadchodzące zagrożenia 17

Największe przeszkody 20

Praktyki bezpieczeństwa – Europa a Polska 21

Podsumowanie 22

Metodyka badań 23

The Global State of Information Security ® Survey 2014Główne obserwacje6

Główne obserwacje

W ostatnich latach zagrożenia dla

bezpieczeństwa informacji zmieniły się

i stały się bardziej powszechne niż

kiedykolwiek wcześniej. W takiej sytuacji

podejście do bezpieczeństwa, którego

głównym celem tradycyjnie jest

zaspokojenie wymagań

regulacyjnych, nie jest już

wystarczające.

Co z tego wynika? Dzisiaj wiele organizacji

nadal opiera się na przestarzałych

strategiach bezpieczeństwa i prowadzi

raczej nieskuteczną walkę z doskonale

wyszkolonymi i zmotywowanymi

przeciwnikami, którzy posługują się

technologią jutra.

Wyrafinowani intruzi z łatwością pokonują

przestarzałe zabezpieczenia

i przeprowadzają dynamiczne i precyzyjnie

wymierzone ataki, które są bardzo trudne

do wykrycia. Wielu z nich stosuje dobrze

skonstruowane ataki phishingowe,

adresowane do kierownictwa wysokiego

szczebla. Co gorsza, powierzchnia

możliwego ataku wzrosła, ponieważ

partnerzy, dostawcy czy klienci

coraz częściej współpracują i kontaktują się

ze sobą głównie za pośrednictwem

Internetu.

Kwestia bezpieczeństwa

teleinformatycznego staje się coraz bardziej

złożona i stanowi ogromne wyzwanie.

Powstaje nowa dyscyplina, w której

niezbędne są nowatorskie technologie

i procesy oraz umiejętności oparte na

technikach wywiadowczych – ze względu na

wzrost skomplikowania coraz bardziej

kluczowe staje się stałe wsparcie zarządów

firm. Kluczową kwestią nowego

podejścia jest świadomość

nieuchronności ataku oraz tego, że

nie da się chronić wszystkich danych

na tak samo wysokim poziomie.

Ankieta The Global State of Information

Security Survey ® 2014 służy zbadaniu, jak

współczesne organizacje radzą sobie

z tymi nowymi zagrożeniami. Z globalnej

edycji tegorocznej ankiety wynika, że

menedżerowie kładą coraz większy

nacisk na bezpieczeństwo. Podkreślają,

że wydatki na poprawę bezpieczeństwa

wzrosły i uważają, że znacząco udało im się

zwiększyć bezpieczeństwo ich organizacji

zarówno w zakresie technologii, jak

i procesów. Jednak, podczas gdy firmy

podniosły poprzeczkę w zakresie działań

związanych z zapewnianiem

bezpieczeństwa, hakerzy poczynili jeszcze

większe postępy. Wyniki globalnej edycji

tegorocznej ankiety wskazują, że liczba

incydentów związanych

z bezpieczeństwem wzrosła o 25%

w porównaniu z rokiem poprzednim,

a średnie straty finansowe z powodu

jednego ataku zwiększyły się o ponad

18%.

Ankieta ujawnia również, że wiele

organizacji nie wdrożyło technologii, które

mogłyby pomóc określić konkretne

zagrożenia, zidentyfikować i ochronić

kluczowe aktywa oraz ocenić zagrożenia

w kontekście celów biznesowych. Dla

wielu przedsiębiorstw

bezpieczeństwo wciąż nie jest jednym

z podstawowych elementów strategii

biznesowej i nie stanowi wysokiego

priorytetu dla zarządu ani znaczącej

pozycji w budżecie.

Niewiele organizacji utrzymało

odpowiednie tempo, aby dotrzymać kroku

wzrastającemu ryzyku, a coraz mniej z nich

jest przygotowanych do zwalczania

przyszłych zagrożeń.

W nowym modelu bezpieczeństwa

informacji i IT kluczem jest wiedza.

Zdobądź ją.

Komentarz do wyników badania

polskiego

Globalne badanie zostało uzupełnione

o część polską – na zaproszenie skierowane

do klientów PwC Polska i czytelników

magazynu THINKTANK odpowiedziało

dodatkowo ponad 70 firm i organizacji

działających w Polsce. Głównie

reprezentowane wśród polskich

respondentów branże to sektor finansowy

(bankowość i ubezpieczenia),

telekomunikacyjny, usług doradczych,

wytwarzania oprogramowania oraz

przemysł.

„W naszym badaniu wzięły

udział firmy z Polski będące

liderami w swoich branżach.

Na tle podobnych organizacji

na świecie polskie firmy

wyróżniają się korzystnie

szczególnie w tych obszarach,

które wymagają zgodności

z przepisami prawa

– w szczególności dotyczącego

ochrony danych osobowych

i własności intelektualnej.

Jednocześnie wskaźniki

mówiące o strategicznej roli

cyberbezpieczeństwa – jak

pozycja w strukturze firmy czy

wielkość budżetu, znacząco

odbiegają in minus od

najlepszych praktyk.”

Piotr Urban, Partner, Lider PwC Risk

Assurance

The Global State of Information Security ® Survey 2014 Szczegółowe omówienie wyników 7

Szczegółowe omówienie wyników

Technologie cyfrowe stały się powszechne

i zmieniły środowisko biznesowe.

Dzisiaj organizacje są ściślej połączone,

zintegrowane i wzajemnie zależne.

Wykorzystują technologię i wszechobecną

łączność sieciową, aby współdzielić

niespotykaną ilość informacji z klientami,

dostawcami, usługodawcami, partnerami

i pracownikami. Te rozwiązania pozwalają

realizować zadania biznesowe

z niespotykaną dotychczas efektywnością.

Jednak nowy ekosystem także coraz częściej

zagraża organizacjom – są one skazane na

łaskę potencjalnych atakujących, którzy

mogą wykorzystać technologie i procesy,

aby zakłócić czy nawet przerwać działalność

przedsiębiorstwa. Z tego powodu

zagrożenia dotyczące bezpieczeństwa stały

się krytycznym ryzykiem biznesowym dla

wszystkich organizacji z całego świata.

Powszechnie spotykane jest tradycyjne,

reaktywne podejście do bezpieczeństwa

informacyjnego, które degraduje kwestie

bezpieczeństwa do problemu wyłącznie

działów IT, jest powszechnie spotykane.

W dzisiejszych realiach taki sposób

zarządzania cyberbezpieczeństwem okazuje

się jednak nieefektywny i nieuzasadniony.

Nowe oblicze zagrożeń bezpieczeństwa

wymaga, aby organizacje traktowały

zapewnianie bezpieczeństwa

informacyjnego jako część korporacyjnej

strategii zarządzania ryzykiem, gdyż

incydenty cyberbezpieczeństwa mogą mieć

krytyczny wpływ na działalność operacyjną

przedsiębiorstwa.

Zapytaliśmy naszych respondentów, jak

realizują swoje cele związane

z bezpieczeństwem oraz czy stosowane

przez nich środki bezpieczeństwa są

dopasowane do celów biznesowych

organizacji. Wyniki polskiej ankiety

wskazują, że większość osób jest

przekonana o słuszności działań swoich

organizacji związanych z wdrażaniem

i realizacją praktyk bezpieczeństwa.

Silne zaufanie do bieżących działań

w zakresie bezpieczeństwa

Uderzające jest to, że nawet w otoczeniu

ciągle nasilających się ryzyk, menedżerowie

pozostają praktycznie w 100% przekonani

o możliwościach swoich organizacji

w zakresie realizacji skutecznej polityki

bezpieczeństwa informacyjnego. Ogólnie

ponad 80% respondentów twierdzi, że

działania ich organizacji w zakresie

bezpieczeństwa informacji są skuteczne.

Większy optymizm cechuje jednak kadrę

zarządzającą, która bardzo wysoko ocenia

skuteczność działań związanych

z bezpieczeństwem. Wśród pracowników na

niższych stanowiskach i bezpośrednio

realizujących poszczególne projekty można

natomiast zauważyć większy dystans

i mniejsze przekonanie o skuteczności

podejmowanych działań.

Ponad

80%respondentów z Polski

ocenia, że działania ich

organizacji w zakresie

bezpieczeństwa informacji

są skuteczne.

The Global State of Information Security ® Survey 2014Szczegółowe omówienie wyników8

O pewności co do słuszności realizowanej

strategii bezpieczeństwa może też świadczyć

ocena skuteczności ponoszonych wydatków.

Można zauważyć, że takie podejście do

oceny realizowanej strategii nieco

zmniejsza ogólny optymizm w polskich

organizacjach. Ponad 64% polskich

respondentów twierdzi, że wydatki spółki

na bezpieczeństwo są dobrze dostosowane

do jej celów biznesowych. Pojawiają się

również sceptyczne głosy kadry

kierowniczej, co sugeruje, że polityka

budżetowania inicjatyw związanych

z bezpieczeństwem informacyjnym nie

zawsze jest odpowiednio realizowana.

Jednak podobnie, jak w innych krajach,

przekonanie polskich respondentów

o skuteczności działań w zakresie

bezpieczeństwa sugeruje, iż stanowią one

– przynajmniej w teorii – integralną część

realizowanej strategii biznesowej.

Optymizm dominuje również w kwestii

podejścia do bezpieczeństwa

informacyjnego.

Ponad

64%respondentów z Polski

ocenia, że wydatki spółki

na bezpieczeństwo są dobrze

dostosowane do jej celów

biznesowych.

42%

23%19%

15%

Mamy skuteczną strategię iaktywnie wcielamy ją w życie

Lepiej nam wychodziopracowanie odpowiedniejstrategii niż wcielanie jej w

życie

Lepiej nam wychodzirozwiązywanie problemu niż

określenie skutecznej strategii

Nie mamy skutecznej strategii izazwyczaj działamy reaktywnie

Wykres 1: Która z poniższych kategorii najlepiej opisuje podejście organizacji do ochrony bezpieczeństwa informacji?

Mamy skuteczną strategię i aktywnie wcielamy ją w życie

Jesteśmy lepsi w opracowaniuodpowiedniej strategii niż we wdrożeniu jej w życie

Jesteśmy lepsi w rozwiązywaniu problemu niż w opracowaniu skutecznej strategii

Nie mamy skutecznejstrategii i zazwyczajdziałamy reaktywnie

Przodownicy

Stratedzy

Taktycy

Strażacy

Większość z respondentów jest skłonna

podejmować proaktywne działania w celu

zwalczania nowych zagrożeń.

Tych, którzy zadeklarowali, że mają

skuteczną strategię i aktywnie wcielają ją

w życie, nazywamy przodownikami,

ponieważ wykazują dwie główne cechy

liderów. Tegoroczne wyniki wskazują, że

około 40% respondentów określa siebie

jako przodowników. To niewiele mniej

niż wskazują wyniki globalnej wersji

raportu (tam takie podejście zadeklarowało

50% pytanych). Prawie jedna czwarta

mówi, że jest lepsza w opracowaniu

odpowiedniej strategii niż we wdrożeniu jej

w życie, w związku z czym kwalifikujemy ich

do kategorii strategów. Natomiast ci,

którzy deklarują, że są lepsi w rozwiązaniu

problemu niż w opracowaniu skutecznej

strategii – tzw. taktycy – stanowią około

20% pytanych. Ostatnia grupa, która nie

realizuje skutecznej strategii i zazwyczaj

działa reaktywnie, to strażacy (około 15%

respondentów).

The Global State of Information Security ® Survey 2014

Wykres 2: Przodownicy a liderzy

40%

26%

Category 1 Category 2Przodownicy Liderzy

Szczegółowe omówienie wyników 9

Czy przodownicy są rzeczywiście

liderami?

Samoocena przeprowadzona w taki sposób

pozostaje mimo wszystko dość

subiektywna. Dlatego też dokładniej

przeanalizowaliśmy nasze dane

i stworzyliśmy odpowiednie kryteria, które

określają prawdziwego lidera – nie na

podstawie samooceny, lecz podejmowanych

przez niego działań i prezentowanych

możliwości.

Prawdziwy lider w organizacji musi

zadeklarować, że:

• jego organizacja posiada ogólną strategię

bezpieczeństwa,

• zatrudnia dyrektora ds. bezpieczeństwa

informacji (CISO), który odpowiada za

program bezpieczeństwa i raportuje co

najmniej do członka zarządu lub

najwyższego kierownictwa,

• dokonuje pomiarów i przeglądów

skuteczności zasad i procedur

bezpieczeństwa informacji w organizacji,

• wie dokładnie, jakiego rodzaju zdarzenia

bezpieczeństwa wystąpiły w ostatnim

roku.

Na podstawie powyższych kryteriów

stwierdziliśmy, że tylko 26% wszystkich

respondentów z Polski kwalifikuje się jako

prawdziwi liderzy. Działają oni głównie

w dużych firmach, o przychodzie ponad 5

mld złotych, w następujących branżach:

• bankowość detaliczna lub doradztwo

finansowe,

• telekomunikacja,

• przemysł wydobywczy.

Dane światowe wskazują, że

prawdziwi liderzy wykrywają

więcej incydentów

bezpieczeństwa, lepiej

rozumieją, jakie typy

incydentów wystąpiły w ich

organizacjach oraz są w stanie

określić ich źródło. Raportują

również niższe straty

finansowe, które są wynikiem

zmaterializowania się

potencjalnych zagrożeń.


Powód do niepokoju: nakłady są

niskie

Mimo że większość respondentów deklaruje

duże zaangażowanie oraz wykazuje znaczny

optymizm, to jednak budżet działań

podejmowanych w związku

z bezpieczeństwem informacji wciąż

pozostaje na niskim poziomie. Nasze wyniki

wskazują, że stanowi on jedynie 2,7% całego

budżetu IT. Można więc stwierdzić, że chęć

działania oraz rosnące zaangażowanie

spotykają się ze znaczącymi ograniczeniami

finansowymi. Dla porównania – globalnie

budżet bezpieczeństwa wynosi średnio

3,8% budżetu IT przy jednocześnie

nieporównywalnie większej skali wydatków

na technologie IT.

Jakie są jednak przyszłe oczekiwania?

Większość respondentów nie spodziewa się

znaczącej poprawy aktualnej sytuacji. Tylko

33% pytanych z Polski twierdzi, że budżet

na bezpieczeństwo informacyjne wzrośnie

w ciągu następnych 12 miesięcy. W tej

kategorii pozostajemy w tyle za innymi

rynkami, na których oczekuje się wzrostu

wysokości nakładów na bezpieczeństwo

informacyjne (51% odpowiedzi w ankiecie

globalnej).

Tylko

33%ocenia, że budżet na

bezpieczeństwo

informacyjne wzrośnie.


Dzisiejsze zagrożenia,

wczorajsze strategie

Trudno zignorować falę doniesień na temat

coraz bardziej wyrafinowanych – i często

coraz bardziej skutecznych – metod ataków,

które miały miejsce na świecie w ostatnim

roku. Ponieważ informacje te bardzo często

są upubliczniane w oczekiwaniu na

wzbudzenie sensacji, konieczna jest ich

dokładna weryfikacja.

Wyniki globalnego badania wskazują, że

liczba incydentów związanych

z bezpieczeństwem wzrosła o ponad 25%

w porównaniu z rokiem poprzednim.

Takie wyniki sugerują, że coraz większy

szum medialny wokół kwestii

bezpieczeństwa teleinformatycznego jest

w pełni uzasadniony – niepokój przy tym

budzi fakt, że wzrost ten wydaje się nie

dotyczyć polskich przedsiębiorstw. Biorąc

pod uwagę, że według niezależnych badań

75% ataków wynika wyłącznie z samego

faktu istnienia luki w zabezpieczeniach,

a nie atrakcyjności celu, rozbieżności w tym

zakresie mogą wynikać z niższej

efektywności procesów i rozwiązań

związanych z wykrywaniem incydentów

bezpieczeństwa.

„Obecnie jest tylko kwestią

czasu, czy dana firma stanie się

ofiarą. Należy założyć, że

incydent naruszenia

bezpieczeństwa już nastąpił,

tylko jeszcze go nie wykryliśmy.

Oznacza to, że zarządzanie

kryzysowe i bezpieczeństwo

zaczęły się przenikać i muszą

być traktowane łącznie.”

Rafał Jaczyński, Lider PwC Cyber

Security

2 5622 989

3 741

2011 2012 2013

Wykres 3: Średnia liczba incydentów związanych z bezpieczeństwem w ostatnich 12 miesiącach (w globalnym raporcie)

2011 2012 2013


„Zwiększenie liczby

wykrywanych incydentów

naruszenia bezpieczeństwa

teleinformatycznego nie

świadczy o nieskuteczności

wdrożonych strategii

zabezpieczeń – wręcz

przeciwnie – dzięki nowym

technologiom i procesom

monitorowania organizacje

mogą szybciej wykrywać

zagrożenia i ataki hakerów.”

Patryk Gęborys, Menedżer PwC Cyber

Security

Tezę o słabszym przygotowaniu polskich

firm do wykrywania i obsługi incydentów

bezpieczeństwa potwierdzają wyniki

pokazujące, ilu respondentów nie

dysponuje wiedzą o liczbie incydentów

bezpieczeństwa, które wystąpiły w danej

organizacji. W Polsce udział ten wynosi

22%, o 4 punkty procentowe więcej niż

globalny poziom odniesienia.

Wzrost ryzyka nowych zagrożeń wraz ze

wzrostem ilości współdzielonych danych

biznesowych sprawia, że najczęstszym

skutkiem potencjalnych incydentów

bezpieczeństwa jest utrata lub kradzież

danych. W Polsce niemal połowa wszystkich

ataków kończy się wyciekiem lub

niedostępnością pewnych informacji.

Analogicznie raport globalny także

wskazuje, że wspomniane ryzyko staje się

coraz bardziej poważne – utrata danych jest

skutkiem 24% wszystkich incydentów,

o 16% więcej niż w ubiegłym roku.

Po przeanalizowaniu szczegółowych

skutków incydentów związanych

z bezpieczeństwem w Polsce można dojść

do nowych wniosków. W niemal połowie

przypadków incydenty te dotyczą marki lub

reputacji. Wiąże się to z rodzajem

informacji, które mogą być ujawnione.

Zazwyczaj są to informacje dotyczące

własności intelektualnej lub tożsamości

klienta lub pracownika. Praktycznie

wszyscy respondenci odpowiedzieli, że to

właśnie te dane są w ich organizacjach

traktowane jako najważniejsze. Wydaje się

więc naturalne, że ochrona powinna

skupiać się na tych danych, które stają się

najczęstszym celem ataków. Wyniki ankiety

jednak wskazują, że zastosowane środki

bezpieczeństwa nie pozwalają na efektywne

zwalczanie ryzyka ich kradzieży, a kradzież

własności intelektualnej znajduje się

w czołówce skutków incydentów

bezpieczeństwa.

40%

30%

20%15% 15% 15%

Category 1 Category 2 Category 3 Category 4 Category 5 Category 6

Wykres 4: Skutki incydentów bezpieczeństwa w Polsce

Zagrożenie dla marki/reputacji

Kradzież „miękkiej” własności intelektualnej (np.procesów, wiedzyinstytucjonalnej itp.)

Kradzież tożsamości (informacji o kliencielub pracowniku)

Kradzież „twardej” własności intelektualnej (np.strategicznychplanówprzedsiębiorstwa, dokumentówdotyczących transakcji, itp.)

Narażenie na ryzyko prawne/pozew

Utrata lubuszkodzenieewidencjiwewnętrznej

Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź.


Koszty i stopień

skomplikowania procedur

reagowania na incydenty

rosną. Dotyczy to

przeprowadzenia dochodzenia,

zrozumienia ryzyk

biznesowych, opanowania

incydentów i poinformowania

partnerów, a także

ewentualnego postępowania

sądowego. Dodatkowo wzrasta

koszt działań naprawczych,

trzeba bowiem analizować

coraz większą liczbę aktów

w ramach różnych obszarów

jurysdykcji, a kontrole

bezpieczeństwa nie dotrzymują

tempa ciągle zmieniającemu się

środowisku i zagrożeniom.

Osoby z wewnątrz organizacji, osoby

trzecie oraz hakerzy

Jak co roku, zapytaliśmy naszych

respondentów o przypuszczalne źródła

incydentów bezpieczeństwa. Ponad połowa

ankietowanych z Polski wskazała na osoby

z „wewnątrz” organizacji – pracowników

lub dostawców. Uczestnicy globalnej edycji

ankiety również wskazują, że dominującym

źródłem incydentów są osoby z wewnątrz

organizacji i zaufani partnerzy.

Wyniki globalnego badania GISS warto

zestawić z niezależnymi raportami

przygotowanymi w oparciu o rzeczywiste

dane z analizowanych incydentów: według

Verizon 2013 Data Breach Investigations

Report źródłem znakomitej większości

(92%) incydentów były osoby trzecie,

a większość (52%) była związana

z włamaniami do systemów

informatycznych. To porównanie wymaga

komentarza.

Dotychczas nienaruszalnym dogmatem

zarządzania bezpieczeństwem było

twierdzenie, że większość incydentów jest

powodowana przez pracowników. Sądzimy,

że pora już odłożyć to założenie do lamusa

i podkreślić, że pracownicy

i współpracownicy firm coraz rzadziej stają

się inicjatorami nadużyć – coraz częściej

natomiast są świadomymi lub

nieświadomymi współpracownikami

przestępców. Zmiana podejścia nie oznacza

bynajmniej powrotu do koncepcji budowy

„muru” na granicy ze światem

zewnętrznym; oznacza, że pracownicy oraz

zasoby informatyczne bezpośrednio przez

nich wykorzystywane (komputery, systemy

i sieci biurowe, usługi internetowe) są tak

naprawdę kolejnym frontem, który

powinny uwzględniać firmowe linie

obronne.

3%

5%

10%

15%

Category 6

Category 5

Category 4

Category 3

5%

10%

10%

25%

Category 10

Category 9

Category 8

Category 7

25%

50%

Category 2

Category 1Aktualni pracownicy

Byli pracownicy

Aktualni dostawcy usług/konsultanci/ wykonawcy

Klienci

Byli dostawcy usług/konsultanci/ wykonawcy

Brokerzy informacji

Hakerzy

Konkurenci

Przestępczość zorganizowana

Aktywiści/organizacje aktywistów/ aktywiści-hakerzy

Osoby z wewnątrz organizacji

Zaufani partnerzy

Osoby trzecie

Wykres 5: Przypuszczalne źródła incydentów



Jedną z przyczyn, dla których

organizacje nie posiadają

efektywnych planów w zakresie

zagrożeń wewnętrznych, czy

też wynikających z pewnych

klas partnerów (dostawcy,

itp.), jest zbyt daleko idące

zaufanie do sieci wewnętrznej.

W biznesie trzeba zrozumieć,

że zaufanie nie powinno być

automatycznym założeniem.

Słaba obrona

Aby poradzić sobie z aktualnymi

zagrożeniami, organizacje powinny

zrozumieć otoczenie – w tym podatności na

ataki, którym należy zapobiec, oraz

nowe zagrożenia. Działania i inwestycje

należy realizować zgodnie z najlepszą

dostępną wiedzą i dostosowywać do

biznesowego otoczenia organizacji.

Dla wielu oznacza to zdecydowaną zmianę

w procesie myślenia i planowania. Nie jest

więc zaskakujące, że wielu respondentów

przyznaje, iż w ich organizacjach nie wdraża

się technologii i procesów, które zapewniają

przegląd i analizę możliwych ryzyk

i zagrożeń. Na przykład 55% pytanych

w Polsce nie wdraża mechanizmów

profilowania i monitorowania zachowań,

42% respondentów nie ma natomiast

planów wykorzystywania systemów

monitorowania i zarządzania zdarzeniami

(SIEM). Narzędzia do zarządzania

aktywami, które są najważniejszym

elementem strategii ochrony danych

w organizacji, nie zostały ujęte w planach

inwestycyjnych 41% respondentów.

Z drugiej strony warto jednak wspomnieć,

że respondenci w Polsce dość często stosują

narzędzia zapobiegające utracie danych

(DLP) oraz systemy wykrywania

i zapobiegania włamaniom (IPS) – tak

wskazało odpowiednio 57% i 60% pytanych.

Dane w organizacjach są coraz częściej

rozproszone i współdzielone pomiędzy

wielu partnerów, dostawców,

zleceniobiorców oraz klientów. Niezwykle

ważną kwestią staje się ochrona tych

danych oraz zrozumienie potencjalnego

ryzyka związanego z ich współdzieleniem.

Co więcej, organizacje powinny być pewne,

że trzecie strony spełniają wymagania

dotyczące ochrony prywatności danych.

Respondenci w Polsce deklarują, że

w większości przypadków (74%)

wymagają, aby podmioty zewnętrzne

(w tym zewnętrzni usługodawcy w ramach

outsourcingu) przestrzegały firmowej

polityki bezpieczeństwa. Podczas gdy ponad

połowa (54%) prowadzi spis wszystkich

podmiotów zewnętrznych, które mają do

czynienia z danymi osobowymi

pracowników i klientów, to tylko 34%

deklaruje, że regularnie przeprowadza

odpowiednie audyty, aby mieć pewność, że

osoby trzecie zdołają zapewnić ochronę

takich informacji.

Jak już wspomnieliśmy, podwyższone

ryzyko i rosnące zagrożenia wymagają, aby

w organizacji uświadamiano sobie, że

w dzisiejszych czasach ochrona wszystkich

informacji na takim samym

– priorytetowym – poziomie nie jest już

realna ani nawet możliwa. W nowym

modelu bezpieczeństwa biznes powinien

zidentyfikować i przypisać odpowiednie

znaczenie tym zbiorom informacji, które są

najważniejsze dla działania organizacji.


W Polsce organizacje dość chętnie stosują

mechanizmy ochrony urządzeń mobilnych.

Nadal jednak mniej niż połowa z nich

wdrożyła mechanizmy umożliwiające

zdalne zarządzanie urządzeniami

mobilnymi (MDM), które są kluczowym

narzędziem do zautomatyzowanego

zarządzania zbiorem służbowych

smartfonów.

63%59%

48%44% 44%

7%

35%30%

39% 37%42%

19%

Klasyfikacja wartościbiznesowej

Zakaz używania lubdostępu do sieci zwłasnych urządzeń

użytkownika wmiejscu pracy

Oprogramowanie dozarządzania

urządzeniamimobilnymi (MDM)

Ochrona firmowejpoczty elektronicznej

i kalendarzy naurządzeniach

własnychpracownika iużytkownika

Strategiabezpieczeństwa

urządzeń mobilnych

Korzystanie zmechanizmów

kontroligeolokalizacji

Polska Świat

Mocneuwierzytelnianie naurządzeniach

Zakaz używania lub dostępu do sieci z własnych urządzeń użytkownika w miejscu pracy

Oprogramowanie dozarządzania urządzeniami mobilnymi (MDM)

Ochrona firmowejpoczty elektroniczneji kalendarzy naurządzeniach firmowychi prywatnych

Strategiabezpieczeństwa urządzeń mobilnych

Korzystaniez mechanizmówkontroligeolokalizacji

Wykres 6: Inicjatywy dotyczące urządzeń mobilnych

Urządzenia mobilne

powszechnie pojawiają się

w firmowych sieciach,

a użytkownicy coraz częściej

domagają się ułatwienia im

dostępu do firmowych

zasobów. Działy IT

i bezpieczeństwa informacji

muszą znaleźć balans między

oczekiwaniami biznesu

a wymaganiami regulacyjnymi

i ochrony informacji.


Kluczowym ryzykiem w zakresieprywatności danych jest silny wzrost użycia urządzeń mobilnych takich jak smartfonyczy tablety, a także stosowanie polityki „bring your own device” (BYOD)w organizacjach. Podczas, gdy skalawykorzystania urządzeń mobilnych do współdzielenia i przesyłania danych jest coraz większa, proces wdrożenia nowych mechanizmów bezpieczeństwa urządzeń mobilnych jest zdecydowanie opóźniony, co szczególnie widać po globalnych wynikach ankiety.


niewiele organizacji korzystających z usług

chmury obliczeniowej stosuje odpowiednią

politykę prywatności – deklaruje to tylko

17% respondentów.

Zagrożenia typu APT (ang. Advanced

Persistent Threats) cieszą się zdecydowanie

większą uwagą mediów. Ogólny trend

wskazuje, że w przyszłości mogą one

stanowić dużą część wszystkich zagrożeń.

Hakerzy są coraz częściej wskazywani jako

potencjalne źródło ataków, dlatego

niepokojące wydaje się to, iż tylko 30%

pytanych w Polsce wdrożyło zabezpieczenia

przeciwko takim zagrożeniom. Dla

porównania – ponad połowa respondentów

ankiety w ujęciu globalnym twierdzi, że

stosuje już odpowiednie środki zaradcze.

Chmury obliczeniowe są w powszechnym

użyciu już od ponad dekady i stają się

jednym z głównych elementów

infrastruktury serwerowo-usługowej

organizacji. Prawie połowa (48%)

respondentów z Polski odpowiedziała, że

w ich organizacji wykorzystuje się tę

technologię. Wśród tych osób 33%

stwierdziło, że bezpieczeństwo poprawiło

się dzięki przejściu na taki model dostawy

usług. Pojawiły się też jednak nowe

wątpliwości – 25% pytanych nie ma

pewności, czy w takim środowisku możliwe

jest odzyskanie danych. Taka sama część

respondentów ma wątpliwości co do

kontroli uprzywilejowanego dostępu na

stronie internetowej dostawcy usług.

Mimo wszystko zaskakujące jest to, że

Tylko

17%respondentów ocenia, że

wdrożyli polityki dotyczące

stosowania usług

w chmurze.


Liderzy dopasowują bezpieczeństwo do

specyficznych potrzeb biznesowych,

ustalają standardy dla zewnętrznych

partnerów oraz zarządzają

bezpieczeństwem już od samych jego

podstaw. Na przykład aż w 83%

przypadkach, organizacje liderów w Polsce

zatrudniają członka zarządu, który aktywnie

dba o przekazywanie informacji na temat

znaczenia bezpieczeństwa informacji dla

całej organizacji. Ponadto 67% z nich

zadeklarowało, że tworzą ogólnofirmowy

zespół, który regularnie spotyka się w celu

koordynacji i komunikowania kwestii

bezpieczeństwa informacyjnego.

Polityki bezpieczeństwa i wsparcie

kierownictwa to dopiero początek. Miarą

prawdziwych intencji może być to, czy

przedsiębiorstwa wdrożyły odpowiednie

technologie, które pozwolą zrealizować te

polityki.

Przygotowując się na

nadchodzące zagrożenia

Dzisiaj potencjalni atakujący wciąż

doskonalą swoje umiejętności i możliwości,

dzięki którym mogą wykorzystać coraz

więcej wykrytych podatności. Zapobieganie

tym zagrożeniom będzie wymagało od

organizacji odpowiedniego podejścia,

w tym dopasowania działań i realizowanych

inwestycji oraz wsparcia ich najlepszą

dostępną wiedzą – użyteczną w otaczającym

ich środowisku biznesowym.

Tegoroczny raport wskazuje, że organizacje,

które posiadają cechy lidera, częściej

implementują odpowiednie polityki, na

mocy których bezpieczeństwo jest włączane

do podstawowych celów biznesowych całej

organizacji, a nie tylko pionu IT.

Zaangażowanie

w bezpieczeństwo wyższego

kierownictwa i zarządu

zapewnia implementację

spójnego programu

bezpieczeństwa.

38%

75%81% 78%

58%67%

83% 83% 83% 83%

Ogólnofirmowy zespół Scentralizowane procesy Strategiabezpieczeństwa

Ustalone minimalne W organizacji

Wszyscy Liderzy

Ogólnofirmowy zespół, który regularnie spotykasię w celu koordynacji i komunikowania kwestiibezpieczeństwa informacyjnego

Scentralizowane procesyzarządzania bezpieczeństwem informacji

Strategiabezpieczeństwa informacji dostosowanado specyficznych potrzebdziałalności

Ustalone minimalnewymogi/standardybezpieczeństwa dla partnerów zewnętrznych /klientów/dostawcówtowarów lub usług

W organizacji jestczłonek zarządu, który aktywnie dbao przekazywanieinformacji na tematznaczeniabezpieczeństwa informacji dla całej organizacji

Wykres 7: Aktualne polityki i środki bezpieczeństwa w polskich organizacjach



Liderzy zdecydowanie częściej wdrażają

narzędzia, dzięki którym mogą analizować

podejrzane zdarzenia w czasie

rzeczywistym. Na przykład 83% liderów

wskazuje, że implementują oni w swoich

organizacjach technologie z zakresu

monitorowania i zarządzania zdarzeniami

(SIEM). Podobna liczba respondentów

sklasyfikowanych jako liderzy wskazała, że

w ich organizacjach wykorzystuje się

narzędzia korelacji zdarzeń dotyczących

bezpieczeństwa, przedstawiające ogólny

obraz analizy na podstawie danych z wielu

źródeł (m.in. skanery podatności czy

wykrywania włamań). Narzędzia do

skanowania systemów pod kątem luk

bezpieczeństwa i podatności są dość często

wykorzystywane przez wszystkich

respondentów – ogółem 67% wskazuje, że

posiada takie oprogramowanie.

Podczas gdy skupiamy się na działaniach

realizowanych przez liderów, musimy

pamiętać, że wymienione technologie są

bardzo istotnymi elementami

dzisiejszych mechanizmów zabezpieczeń

i wszystkie organizacje powinny rozważyć

ich wprowadzenie.

Innym przykładem jest realizacja programu

podnoszenia świadomości. Ponad 56%

wszystkich badanych wskazało, że prowadzi

Mechanizmy bezpieczeństwa, które są priorytetem na najbliższe 12 miesięcy:

• monitorowanie nieuprawnionego dostępu lub użycia,

• szyfrowanie smartfonów (np. iPhone, BlackBerry, urządzenia z systemem Android),

• strategia bezpieczeństwa dotycząca korzystania przez pracowników z własnych urządzeń na terenie przedsiębiorstwa,

• strategia bezpieczeństwa mediów społecznościowych,

• procedury reagowania na incydenty, także w zakresie zgłaszania przypadków naruszenia zasad do podmiotów zewnętrznych, które mają do czynienia z danymi oraz obsługą takich zgłoszeń,

• profilowanie i monitorowanie zachowań,

• program szkoleń z zakresu wiedzy o bezpieczeństwie,

• przeprowadzanie oceny ryzyka w odniesieniu do wewnętrznych i zewnętrznych zagrożeń dla prywatności, poufności oraz integralności ewidencji papierowej i elektronicznej zawierającej dane osobowe (np. przez audyt wewnętrzny),

• standardy/procedury dotyczące bezpieczeństwa urządzeń przenośnych,

• strategia bezpieczeństwa chmury obliczeniowej,

• systemy wykrywania i zapobiegania włamaniom (IPS),

• wykrywanie złośliwego oprogramowania w urządzeniach mobilnych.

szkolenia w tym zakresie. Ponieważ coraz

więcej ataków dotyczy pracowników (m.in.

przy wykorzystaniu socjotechniki),

wszystkie organizacje powinny prowadzić

taki program, aby uchronić się przed

najbardziej podstawowymi zagrożeniami.

Aby ocenić priorytety respondentów

z Polski w zakresie przygotowań do nowych

zagrożeń w przyszłości, przygotowaliśmy

listę najważniejszych elementów

bezpieczeństwa na najbliższe 12 miesięcy.

Część przygotowań dotyczy urządzeń

mobilnych, a w szczególności szyfrowania

ich zawartości oraz wprowadzenie

odpowiednich procedur i standardów

bezpieczeństwa. Organizacje planują

również wprowadzenie regulacji

związanych z mediami społecznościowymi

oraz dotyczących korzystania przez

pracowników z własnych urządzeń na

terenie przedsiębiorstwa. Priorytetem

pozostaje również realizacja nowych

strategii w zakresie monitorowania

i wykrywania incydentów bezpieczeństwa.

W obliczu nowych zagrożeń, za przejaw

dobrych praktyk uznajemy wprowadzenie

programu szkoleń

z zakresu wiedzy o bezpieczeństwie oraz

ocenę ryzyka w odniesieniu do zagrożeń

dotyczących danych osobowych. Nasze

analizy wskazują, że te obszary aktualnie

mogą stanowić istotną lukę w strategii

bezpieczeństwa organizacji, dlatego

podjęcie odpowiednich inicjatyw może

w znacznym stopniu zmniejszyć poziom

ryzyka przy jednoczesnym wzroście

świadomości istnienia potencjalnych

zagrożeń.


W ostatnim roku wymiana informacji na

temat zagrożeń – nawet pomiędzy

konkurentami – stała się bardzo silną

bronią przeciwko potencjalnym atakom.

Wierzymy, że współpraca umożliwi

organizacjom szybsze dostosowanie się do

zmian rynkowych. Zgodnie z wynikami 5

edycji ankiety Annual Digital IQ Survey,

przeprowadzanej również przez PwC, firmy,

których najwyżsi przedstawiciele ze sobą

współpracują, często osiągają lepsze wyniki.

Zainteresowaliśmy się, jaka część polskich

respondentów, z których wielu działa

w silnie konkurencyjnym otoczeniu,

decyduje się współpracować, aby poprawiać

zabezpieczenia i wymieniać się

informacjami o zagrożeniach. Okazało się,

że wiele organizacji uważa taką współpracę

za korzystną: 52% pytanych stwierdziło, że

oficjalnie współpracuje z innymi

podmiotami w branży (w tym

z konkurencją) na rzecz poprawy

bezpieczeństwa i ograniczenia ryzyka

w przyszłości, wśród zidentyfikowanych już

wcześniej liderów udział ten wynosi 83%.

Pod tym względem wyniki uzyskane

w Polsce są niemal identyczne jak

w raporcie globalnym. Oczywiście warto

pamiętać, że wyniki dotyczą firm, które

zdecydowały się wziąć udział w badaniu

– po uwzględnieniu znacząco mniejszej

popularności tego rodzaju badań wśród

rodzimych przedsiębiorstw uzasadnione

jest stwierdzenie, że skłonność do

współpracy i wymiany informacji

o zagrożeniach pozostaje w Polsce na

poziomie znacząco odbiegającym od

najlepszych światowych praktyk.

Wśród 36% pytanych, którzy nie

zadeklarowali współpracy z innymi

podmiotami, podstawowym powodem, dla

którego rezygnują oni z takiej formy

wsparcia, jest brak pewności, czy taka

współpraca mogłaby przynieść jakieś

bezpośrednie korzyści. W organizacjach

często uważa się, że konkurencja nie jest

wcale bardziej zaawansowana w tematyce

bezpieczeństwa (33% pytanych). Należy

jednak pamiętać, że już samo zetknięcie się

z różnymi formami zagrożeń może stanowić

podstawę do wymiany doświadczeń.

Pozostałe powody wskazują raczej na

bezpośredni brak zaufania do konkurencji

i obawę, że uzyskane informacje mogłyby

być wykorzystane przeciwko inicjatorom

takich przedsięwzięć.

11%

22%

22%

33%

uważamy

obawiamy się

Nie chcemy

Nie sądzimyNie sądzimy, by którykolwiek z konkurentów był znacząco bardziej zaawansowany od pozostałych

Nie chcemy zwracać uwagi na nasze potencjalne słabości/podatności na zagrożenia

Obawiamy się, że konkurencja mogłaby wykorzystać takie informacje przeciwko nam

Uważamy, że większe organizacje, dysponujące większymi środkami finansowymi, wykorzystałyby taką

współpracę dla własnej korzyści

Wykres 8: Dlaczego firmy nie współpracują z konkurencją w celu poprawy bezpieczeństwa?



bezpieczeństwa. Dla porównania

– w globalnej edycja ankiety

przeszkoda ta znajduje się dopiero na

piątym miejscu. To sugeruje, że w polskich

organizacjach może brakować skutecznych

programów szkoleń czy certyfikacji.

Problem z pozyskaniem funduszy na

inicjatywy związane z bezpieczeństwem jest

równie poważny. Potwierdza się więc nasz

wcześniejszy wniosek, że budżet na

bezpieczeństwo jest zbyt mały

w porównaniu z ogólnymi nakładami na IT

w polskich organizacjach. Pozostali

respondenci wskazują również brak

odpowiedniej wizji, zgodnie z którą można

by określić wpływ przyszłych potrzeb

przedsiębiorstwa na strategię rozwoju

bezpieczeństwa informacyjnego lub nawet

brak samej strategii.

Interesujące wydaje się również to, że część

z ankietowanych wskazała postawę

wyższego kierownictwa jako potencjalną

przeszkodę w realizacji skutecznej

strategii bezpieczeństwa. Z globalnego

raportu wyłania się ciekawe zjawisko

wynikające z korelacji odpowiedzi

respondentów i zajmowanych przez nich

stanowisk. Dyrektorzy naczelni (CEO)

wskazali swoją postawę jako podstawową

przeszkodę realizacji skutecznego planu

poprawy efektywności strategicznej pionu

bezpieczeństwa. Dyrektorzy finansowi

(CFO) również obwiniają dyrektorów

naczelnych. Natomiast CISO, a więc osoby

bezpośrednio odpowiedzialne za

bezpieczeństwo w organizacji, wskazują

niewystarczające nakłady inwestycyjne oraz

brak lub niedobór specjalistycznej wiedzy

technicznej wewnątrz organizacji. Dla

dyrektorów ds. informatyki (CIO)

przeszkodą jest brak strategii i wizji oraz

sama kadra zarządzająca – przede

wszystkim dyrektor naczelny i część zarządu

związana bezpośrednio z bezpieczeństwem.

Brak przejrzystości, jeśli chodzi

o potencjalne przeszkody

wskazuje, że przedstawiciele

biznesu nie zaangażowali się

wystarczająco w rozmowy

dotyczące bezpieczeństwa.

Budowanie kultury

bezpieczeństwa wymaga

pełnego wsparcia najwyższych

zarządzających, w tym CEO

i zarządu. To musi być

nieustająca i żywa dyskusja.

Największe przeszkody

Większość osób, które zajmują się

bezpieczeństwem w organizacji, zgadza się,

że należy podjąć nowe działania, które

mogłyby polepszyć bezpieczeństwo

informacyjne. Istnieje jednak wiele

przeszkód ograniczających efektywność

wdrożenia nowych mechanizmów

bezpieczeństwa. Zapytaliśmy polskich

respondentów, które z nich stanowią

największą przeszkodę i okazało się, że

potencjalne problemy wynikają z wielu

różnych obszarów działalności

przedsiębiorstwa.

Wśród pytanych panuje przekonanie, że

osoby z wewnątrz organizacji nie posiadają

wystarczająco specjalistycznej wiedzy, aby

skutecznie wdrażać nowe praktyki

8%

12%

15%

23%

27%

35%

38%

42%

42%

Kierownictwo: członek zarządu

Kierownictwo: dyrektor

Kierownictwo

Brak skutecznej

Slabo

Niewystarczające

Brak przekładalnej

Niewystarczające nakłady

Brak lub niedobórBrak lub niedobór specjalistycznej wiedzy technicznej wewnątrz organizacji

Niewystarczające nakłady inwestycyjne

Brak przekładalnej na działania wizji lub wiedzy o tym, jak przyszłe potrzeby przedsiębiorstwa wpływają na bezpieczeństwo informacji

Niewystarczające nakłady operacyjne

Słabo zintegrowane lub nadmiernie skomplikowane systemy informatyczne i informacyjne

Brak skutecznej strategii bezpieczeństwa informacji

Kierownictwo: członek zarządu/dyrektor ds. informatyki (CIO) lub odpowiednik

Kierownictwo: dyrektor naczelny (CEO), prezes, zarząd lub ich odpowiednik

Kierownictwo: członek zarządu/dyrektor ds. bezpieczeństwa informacji (CISO)/bezpieczeństwa (CSO) lub ich odpowiednik

Wykres 9: Największe przeszkody utrudniające poprawę ogólnej efektywności strategicznej pionu bezpieczeństwa w organizacji



Praktyki bezpieczeństwa – Europa a Polska

przewyższa średnie dane dla Europy (55%).

Podobne zależności można zauważyć

w zakresie procedur ochrony własności

intelektualnej. Mimo że te elementy polityki

bezpieczeństwa nie są jeszcze powszechne

w krajach europejskich, wyniki ankiety

wśród organizacji w Polsce wskazują na

lepszą gotowość do przyjmowania tego

rodzaju dobrych praktyk.

Europa Polska

Czy budżet na bezpieczeństwo IT wzrośnie w ciągu 12 miesięcy? 46% 33%

Istnieje ogólna strategia bezpieczeństwa informacji 77% 75%

Spółka zatrudnia członka zarządu/dyrektora ds. bezpieczeństwa informacji (CISO), który odpowiada za program bezpieczeństwa

68% 36%

Czy w organizacji jest członek zarządu, który aktywnie dba o przekazywanie informacji na temat znaczenia bezpieczeństwa informacji dla całej organizacji?

51% 57%

Plany zapewnienia ciągłości działania/działań odtworzeniowych 45% 75%

Wymóg, by podmioty zewnętrzne (w tym zewnętrzni usługodawcy w ramach outsourcingu) przestrzegały firmowej polityki ochrony prywatności

55% 74%

Program szkoleń z zakresu wiedzy o bezpieczeństwie 55% 56%

Procedury ochrony własności intelektualnej 17% 35%

Systemy wykrywania i zapobiegania włamaniom (IPS) 63% 60%

Dokładny spis, gdzie gromadzi się, przesyła i przechowuje dane osobowe pracowników i klientów

52% 77%

Czy organizacja oficjalnie współpracuje z innymi podmiotami w branży (w tym z konkurencją) na rzecz poprawy bezpieczeństwa i ograniczenia ryzyka w przyszłości?

45% 52%

Tabela 1: Praktyki bezpieczeństwa – Europa a Polska

Wyniki raportu globalnego wskazują, że

inwestycje w bezpieczeństwo informacyjne

w Europie spadły o około 3% w porównaniu

z rokiem poprzednim, a tempo wdrażania

nowych technik zabezpieczeń jest również

opóźnione w stosunku do reszty świata.

W Polsce tylko 33% przedstawicieli

organizacji deklaruje, że budżet na

bezpieczeństwo IT wzrośnie, w porównaniu

z 46% wśród respondentów z całej Europy.

Wskazuje to na istotne pogorszenie

perspektyw rozwoju pionów

bezpieczeństwa w polskich organizacjach,

a co za tym idzie – zwiększone ryzyko

wzrostu liczby ataków.

Polska nie dotrzymuje również kroku

Europie, jeśli chodzi o strukturę

organizacyjną. Tylko 36% respondentów

wskazało, że ich organizacja zatrudnia

członka zarządu bezpośrednio

odpowiedzialnego za bezpieczeństwo. Dla

porównania – w Europie takie rozwiązanie

jest stosowane praktycznie dwa razy

częściej.

Z drugiej strony, polskie przedsiębiorstwa

lepiej dbają o definiowanie odpowiednich

planów ciągłości działania czy planów

odtworzeniowych. Takie podejście wskazało

74% respondentów, co zdecydowanie

„Jeżeli wydajesz więcej na

kawę, niż na bezpieczeństwo,

zostaniesz zhakowany. Więcej

– zasługujesz na to, żeby zostać

zhakowanym.”

Richard Clarke, Doradca ds.

cyberbezpieczeństwa, Biały Dom

The Global State of Information Security ® Survey 2014Podsumowanie22

Podsumowanie

Nasze podejście obejmuje cztery główne

elementy:

• Strategia

Strategia bezpieczeństwa powinna być

integralną częścią strategii biznesowej

– cyberbezpieczeństwo informacji nie

jest już wyłącznie problemem działów

IT. Zrozumienie roli i skomplikowania

zagadnień związanych

z cyberbezpieczeństwem powinno

znajdować odzwierciedlenie

w strukturze organizacyjnej i wielkości

budżetu przeznaczanego na

bezpieczeństwo.

• Świadomość

Dobrze przygotowana pod względem

bezpieczeństwa firma rozumie

ekspozycję na ryzyko oraz potencjalny

wpływ biznesowy związany z działaniem

w ramach globalnego ekosystemu, jakim

są obecnie systemy teleinformatyczne.

Świadomość firmy w zakresie

cyberbezpieczeństwa oznacza też

umiejętność pozyskiwania

i analizowania informacji

o zagrożeniach, pochodzących

z zewnątrz i wewnątrz firmy. Równie

istotna jest współpraca z innymi

podmiotami w zakresie wymiany tych

informacji – jedynie w ten sposób firmy

mogą wspólnie stawić czoła coraz

bardziej zdeterminowanym

przeciwnikom.

Jedno jest pewne: stosowane do tej pory podejście nie jest już

wystarczające w obliczu coraz szybciej zmieniających się

zagrożeń.

• Selektywność

Aby efektywnie zarządzać

bezpieczeństwem trzeba zrozumieć,

jakie informacje i zasoby są naprawdę

istotne dla działania organizacji i na nich

skoncentrować wysiłek związany

z ochroną. Dzięki temu będzie można

ograniczyć wydatki, zapewniając

równocześnie właściwy poziom

monitorowania i reakcji na incydenty.

• Responsywność

Zabezpieczenia prewencyjne nie dają

wystarczającej gwarancji, że informacje

i moc przetwarzania systemów nie padną

łupem przestępców.

Zdolność firmy do zauważenia

momentu, kiedy zastosowane

zabezpieczenia zostały przełamane

i uruchomienia adekwatnej reakcji na

incydent są aktualnie jednymi

z najważniejszych wyznaczników

dojrzałości firmy w zakresie

cyberbezpieczeństwa. Szybkość detekcji

i reakcji – na równi z jakością

zabezpieczeń prewencyjnych

– w realnych warunkach determinują

zdolność firmy do ochrony krytycznych

zasobów.

Wyniki tegorocznej ankiety pokazały

niestety utrwalenie zaobserwowanej już

wcześniej tendencji – z jednej strony nasi

respondenci deklarują postęp wdrażając

nowe zabezpieczenia, z drugiej nie

przywiązują zbytniej wagi do kluczowych

aspektów, takich jak np. określenie wartości

biznesowej informacji. Deklarują także

konieczność większych inwestycji

w bezpieczeństwo, równocześnie nie mając

nadal strategii dla nowych rozwiązań

takich, jak przetwarzanie w chmurze.

Biorąc pod uwagę zmieniające się

dynamicznie zagrożenia i otoczenie nie

dziwi nas, że obranie właściwego kierunku

nie jest proste i oczywiste. Jedno jest

pewne: stosowane do tej pory podejście nie

jest już wystarczające. Nowe ryzyka będą

wymagały zupełnie nowego podejścia do

bezpieczeństwa informacji.

Aby skutecznie odpowiedzieć na zagrożenia

przyszłości, w naszej opinii podejście do

kwestii bezpieczeństwa informacji musi

zostać oparte na dokładnej znajomości

przeciwnika, zagrożeń i środowiska. Należy

pogodzić się z tym, że incydenty

bezpieczeństwa będą występować i muszą

być uwzględnione jako jedno z ryzyk

biznesowych – którego nie można uniknąć,

ale może ono zostać ograniczone do

akceptowalnego poziomu.

The Global State of Information Security ® Survey 2014 Metodyka badań 23

Metodyka badań

Ankieta Globalny Stan Bezpieczeństwa

Informacji 2014 jest światowym

przedsięwzięciem PwC, CIO Magazine

i CSO Magazine. Została ona

przeprowadzona poprzez badanie on-line

w dniach od 1 lutego do 1 kwietnia 2013 r.

Czytelnicy magazynów CIO i CSO oraz

klienci PwC zostali zaproszeni poprzez

wiadomości elektroniczne do wzięcia

udziału w ankiecie. Światowe wyniki

omawiane w niniejszym raporcie opierają

się na odpowiedziach od ponad 9600

respondentów, wśród których znaleźli się

prezesi, członkowie zarządów firm

i organizacji, dyrektorzy i osoby

odpowiedzialne za finanse, informatykę,

bezpieczeństwo, czy też prywatność ze 115

krajów. Trzydzieści sześć procent (36%)

respondentów pochodziło z regionu

Ameryki Północnej, 26% z Europy, 21%

z Azji i Pacyfiku, 16% z Ameryki

Południowej i 2% z Bliskiego Wschodu

i Afryki. Margines błędu wynosi mniej

niż 1 %.

W tym raporcie, dane z globalnego badania

zostały porównane z wynikami z ankiety

polskiej – na zaproszenie skierowane do

klientów PwC Polska i czytelników

magazynu THINKTANK odpowiedziało

dodatkowo ponad 70 firm i organizacji

działających w Polsce. Ze względu na

ograniczoną liczbę odpowiedzi, obserwacje

wynikające z polskiej części mają charakter

jakościowy. Głównie reprezentowane wśród

polskich respondentów branże to sektor

finansowy (bankowość i ubezpieczenia),

telekomunikacyjny, usług doradczych,

wytwarzania oprogramowania oraz

przemysłu.

Nasi eksperci są do Państwa dyspozycji, zarówno w kwestiach dotyczących tego raportu, jak i wszelkich pytań związanych z bezpieczeństwem informacji i systemów teleinformatycznych.

Osoby kontaktowe– PwC Cyber Security

Piotr UrbanPartnerLider PwC Risk AssuranceK: +48 502 184 157E: [email protected]

Rafał JaczyńskiLider PwC Cyber SecurityK: +48 519 507 122E: [email protected]

Patryk GęborysK: +48 519 506 760E: [email protected]

Rafał SkoczylasK: +48 519 506 661E: [email protected]

Niniejsza prezentacja została przygotowana wyłącznie w celach ogólnoinformacyjnych i nie stanowi porady w rozumieniu polskich przepisów. Nie powinni Państwo opierać swoich działań/decyzji na treści informacji zawartych w tej prezentacji bez uprzedniego uzyskania profesjonalnej porady. Nie gwarantujemy (w sposób wyraźny, ani dorozumiany) prawidłowości, ani dokładności informacji zawartych w naszej prezentacji. Ponadto, w zakresie przewidzianym przez prawo polskie, PricewaterhouseCoopers Sp. z o.o., jej partnerzy, pracownicy, ani przedstawicielenie podejmują wobec Państwa żadnych zobowiązań oraz nie przyjmują na siebie żadnej odpowiedzialności – ani umownej, ani z żadnego innego tytułu – za jakiejkolwiek straty, szkody ani wydatki, które mogą być pośrednim lub bezpośrednim skutkiem działania podjętego na podstawie informacji zawartych w naszej prezentacji lub decyzji podjętych na podstawie tej prezentacji.

The Global State of Information Security® jest znakiem zastrzeżonym International Data Group, Inc.

© 2013 PricewaterhouseCoopers Sp. z o.o. Wszystkie prawa zastrzeżone. Nazwa „PwC” odnosi się do firm wchodzących w skład sieci PricewaterhouseCoopers International Limited, z których każda stanowi odrębny i niezależny podmiot prawny.

Bezpieczne informacje –bezpieczna przyszłość - pwc.pl · W ostatnich latach zagrożenia dla...

Documents

Transcript of Bezpieczne informacje –bezpieczna przyszłość - pwc.pl · W ostatnich latach zagrożenia dla...