Bezpieczne informacje –bezpieczna przyszłość - pwc.pl · W ostatnich latach zagrożenia dla...
Transcript of Bezpieczne informacje –bezpieczna przyszłość - pwc.pl · W ostatnich latach zagrożenia dla...
Bezpieczne informacje– bezpieczna przyszłość
Kluczowe obserwacjez wyników ankiety „Globalnystan bezpieczeństwa informacji 2014”(The Global State of Information Security® Survey 2014)
www.pwc.pl/bezpieczenstwo-biznesu
Po raz pierwszywyniki dlaPolski!
grudzień 2013 r.
Szanowni Państwo,
Bezpieczeństwo informacji i systemów
– powszechnie określane terminem
„cyberbezpieczeństwo” – jest coraz
bardziej istotnym elementem działalności
biznesowej. Przetwarzanie w chmurze,
mobilność, „internet rzeczy”, sieci
społecznościowe są znacznie częściej
obecne w naszym życiu. Postanowiliśmy
przyjrzeć się tym trendom w naszym
dorocznym badaniu stanu
bezpieczeństwa informacji na świecie,
które PwC przeprowadza wspólnie
z magazynami CIO i CSO.
W tegorocznej edycji po raz pierwszy
prezentujemy wyniki badania dotyczące
polskiego rynku na tle rezultatów
globalnych.
Z przyjemnością oddajemy w Państwa
ręce nasz raport. Zapraszamy do lektury
i zachęcamy do kontaktu z naszymi
ekspertami.
Piotr UrbanPartner
Lider PwC Risk
Assurance
Rafał JaczyńskiLider
PwC Cyber Security
Spis treści
Główne obserwacje 6
Szczegółowe omówienie wyników 7
Dzisiejsze zagrożenia, wczorajsze strategie 11
Słaba obrona 14
Przygotowując się na nadchodzące zagrożenia 17
Największe przeszkody 20
Praktyki bezpieczeństwa – Europa a Polska 21
Podsumowanie 22
Metodyka badań 23
The Global State of Information Security ® Survey 2014Główne obserwacje6
Główne obserwacje
W ostatnich latach zagrożenia dla
bezpieczeństwa informacji zmieniły się
i stały się bardziej powszechne niż
kiedykolwiek wcześniej. W takiej sytuacji
podejście do bezpieczeństwa, którego
głównym celem tradycyjnie jest
zaspokojenie wymagań
regulacyjnych, nie jest już
wystarczające.
Co z tego wynika? Dzisiaj wiele organizacji
nadal opiera się na przestarzałych
strategiach bezpieczeństwa i prowadzi
raczej nieskuteczną walkę z doskonale
wyszkolonymi i zmotywowanymi
przeciwnikami, którzy posługują się
technologią jutra.
Wyrafinowani intruzi z łatwością pokonują
przestarzałe zabezpieczenia
i przeprowadzają dynamiczne i precyzyjnie
wymierzone ataki, które są bardzo trudne
do wykrycia. Wielu z nich stosuje dobrze
skonstruowane ataki phishingowe,
adresowane do kierownictwa wysokiego
szczebla. Co gorsza, powierzchnia
możliwego ataku wzrosła, ponieważ
partnerzy, dostawcy czy klienci
coraz częściej współpracują i kontaktują się
ze sobą głównie za pośrednictwem
Internetu.
Kwestia bezpieczeństwa
teleinformatycznego staje się coraz bardziej
złożona i stanowi ogromne wyzwanie.
Powstaje nowa dyscyplina, w której
niezbędne są nowatorskie technologie
i procesy oraz umiejętności oparte na
technikach wywiadowczych – ze względu na
wzrost skomplikowania coraz bardziej
kluczowe staje się stałe wsparcie zarządów
firm. Kluczową kwestią nowego
podejścia jest świadomość
nieuchronności ataku oraz tego, że
nie da się chronić wszystkich danych
na tak samo wysokim poziomie.
Ankieta The Global State of Information
Security Survey ® 2014 służy zbadaniu, jak
współczesne organizacje radzą sobie
z tymi nowymi zagrożeniami. Z globalnej
edycji tegorocznej ankiety wynika, że
menedżerowie kładą coraz większy
nacisk na bezpieczeństwo. Podkreślają,
że wydatki na poprawę bezpieczeństwa
wzrosły i uważają, że znacząco udało im się
zwiększyć bezpieczeństwo ich organizacji
zarówno w zakresie technologii, jak
i procesów. Jednak, podczas gdy firmy
podniosły poprzeczkę w zakresie działań
związanych z zapewnianiem
bezpieczeństwa, hakerzy poczynili jeszcze
większe postępy. Wyniki globalnej edycji
tegorocznej ankiety wskazują, że liczba
incydentów związanych
z bezpieczeństwem wzrosła o 25%
w porównaniu z rokiem poprzednim,
a średnie straty finansowe z powodu
jednego ataku zwiększyły się o ponad
18%.
Ankieta ujawnia również, że wiele
organizacji nie wdrożyło technologii, które
mogłyby pomóc określić konkretne
zagrożenia, zidentyfikować i ochronić
kluczowe aktywa oraz ocenić zagrożenia
w kontekście celów biznesowych. Dla
wielu przedsiębiorstw
bezpieczeństwo wciąż nie jest jednym
z podstawowych elementów strategii
biznesowej i nie stanowi wysokiego
priorytetu dla zarządu ani znaczącej
pozycji w budżecie.
Niewiele organizacji utrzymało
odpowiednie tempo, aby dotrzymać kroku
wzrastającemu ryzyku, a coraz mniej z nich
jest przygotowanych do zwalczania
przyszłych zagrożeń.
W nowym modelu bezpieczeństwa
informacji i IT kluczem jest wiedza.
Zdobądź ją.
Komentarz do wyników badania
polskiego
Globalne badanie zostało uzupełnione
o część polską – na zaproszenie skierowane
do klientów PwC Polska i czytelników
magazynu THINKTANK odpowiedziało
dodatkowo ponad 70 firm i organizacji
działających w Polsce. Głównie
reprezentowane wśród polskich
respondentów branże to sektor finansowy
(bankowość i ubezpieczenia),
telekomunikacyjny, usług doradczych,
wytwarzania oprogramowania oraz
przemysł.
„W naszym badaniu wzięły
udział firmy z Polski będące
liderami w swoich branżach.
Na tle podobnych organizacji
na świecie polskie firmy
wyróżniają się korzystnie
szczególnie w tych obszarach,
które wymagają zgodności
z przepisami prawa
– w szczególności dotyczącego
ochrony danych osobowych
i własności intelektualnej.
Jednocześnie wskaźniki
mówiące o strategicznej roli
cyberbezpieczeństwa – jak
pozycja w strukturze firmy czy
wielkość budżetu, znacząco
odbiegają in minus od
najlepszych praktyk.”
Piotr Urban, Partner, Lider PwC Risk
Assurance
The Global State of Information Security ® Survey 2014 Szczegółowe omówienie wyników 7
Szczegółowe omówienie wyników
Technologie cyfrowe stały się powszechne
i zmieniły środowisko biznesowe.
Dzisiaj organizacje są ściślej połączone,
zintegrowane i wzajemnie zależne.
Wykorzystują technologię i wszechobecną
łączność sieciową, aby współdzielić
niespotykaną ilość informacji z klientami,
dostawcami, usługodawcami, partnerami
i pracownikami. Te rozwiązania pozwalają
realizować zadania biznesowe
z niespotykaną dotychczas efektywnością.
Jednak nowy ekosystem także coraz częściej
zagraża organizacjom – są one skazane na
łaskę potencjalnych atakujących, którzy
mogą wykorzystać technologie i procesy,
aby zakłócić czy nawet przerwać działalność
przedsiębiorstwa. Z tego powodu
zagrożenia dotyczące bezpieczeństwa stały
się krytycznym ryzykiem biznesowym dla
wszystkich organizacji z całego świata.
Powszechnie spotykane jest tradycyjne,
reaktywne podejście do bezpieczeństwa
informacyjnego, które degraduje kwestie
bezpieczeństwa do problemu wyłącznie
działów IT, jest powszechnie spotykane.
W dzisiejszych realiach taki sposób
zarządzania cyberbezpieczeństwem okazuje
się jednak nieefektywny i nieuzasadniony.
Nowe oblicze zagrożeń bezpieczeństwa
wymaga, aby organizacje traktowały
zapewnianie bezpieczeństwa
informacyjnego jako część korporacyjnej
strategii zarządzania ryzykiem, gdyż
incydenty cyberbezpieczeństwa mogą mieć
krytyczny wpływ na działalność operacyjną
przedsiębiorstwa.
Zapytaliśmy naszych respondentów, jak
realizują swoje cele związane
z bezpieczeństwem oraz czy stosowane
przez nich środki bezpieczeństwa są
dopasowane do celów biznesowych
organizacji. Wyniki polskiej ankiety
wskazują, że większość osób jest
przekonana o słuszności działań swoich
organizacji związanych z wdrażaniem
i realizacją praktyk bezpieczeństwa.
Silne zaufanie do bieżących działań
w zakresie bezpieczeństwa
Uderzające jest to, że nawet w otoczeniu
ciągle nasilających się ryzyk, menedżerowie
pozostają praktycznie w 100% przekonani
o możliwościach swoich organizacji
w zakresie realizacji skutecznej polityki
bezpieczeństwa informacyjnego. Ogólnie
ponad 80% respondentów twierdzi, że
działania ich organizacji w zakresie
bezpieczeństwa informacji są skuteczne.
Większy optymizm cechuje jednak kadrę
zarządzającą, która bardzo wysoko ocenia
skuteczność działań związanych
z bezpieczeństwem. Wśród pracowników na
niższych stanowiskach i bezpośrednio
realizujących poszczególne projekty można
natomiast zauważyć większy dystans
i mniejsze przekonanie o skuteczności
podejmowanych działań.
Ponad
80%respondentów z Polski
ocenia, że działania ich
organizacji w zakresie
bezpieczeństwa informacji
są skuteczne.
The Global State of Information Security ® Survey 2014Szczegółowe omówienie wyników8
O pewności co do słuszności realizowanej
strategii bezpieczeństwa może też świadczyć
ocena skuteczności ponoszonych wydatków.
Można zauważyć, że takie podejście do
oceny realizowanej strategii nieco
zmniejsza ogólny optymizm w polskich
organizacjach. Ponad 64% polskich
respondentów twierdzi, że wydatki spółki
na bezpieczeństwo są dobrze dostosowane
do jej celów biznesowych. Pojawiają się
również sceptyczne głosy kadry
kierowniczej, co sugeruje, że polityka
budżetowania inicjatyw związanych
z bezpieczeństwem informacyjnym nie
zawsze jest odpowiednio realizowana.
Jednak podobnie, jak w innych krajach,
przekonanie polskich respondentów
o skuteczności działań w zakresie
bezpieczeństwa sugeruje, iż stanowią one
– przynajmniej w teorii – integralną część
realizowanej strategii biznesowej.
Optymizm dominuje również w kwestii
podejścia do bezpieczeństwa
informacyjnego.
Ponad
64%respondentów z Polski
ocenia, że wydatki spółki
na bezpieczeństwo są dobrze
dostosowane do jej celów
biznesowych.
42%
23%19%
15%
Mamy skuteczną strategię iaktywnie wcielamy ją w życie
Lepiej nam wychodziopracowanie odpowiedniejstrategii niż wcielanie jej w
życie
Lepiej nam wychodzirozwiązywanie problemu niż
określenie skutecznej strategii
Nie mamy skutecznej strategii izazwyczaj działamy reaktywnie
Wykres 1: Która z poniższych kategorii najlepiej opisuje podejście organizacji do ochrony bezpieczeństwa informacji?
Mamy skuteczną strategię i aktywnie wcielamy ją w życie
Jesteśmy lepsi w opracowaniuodpowiedniej strategii niż we wdrożeniu jej w życie
Jesteśmy lepsi w rozwiązywaniu problemu niż w opracowaniu skutecznej strategii
Nie mamy skutecznejstrategii i zazwyczajdziałamy reaktywnie
Przodownicy
Stratedzy
Taktycy
Strażacy
Większość z respondentów jest skłonna
podejmować proaktywne działania w celu
zwalczania nowych zagrożeń.
Tych, którzy zadeklarowali, że mają
skuteczną strategię i aktywnie wcielają ją
w życie, nazywamy przodownikami,
ponieważ wykazują dwie główne cechy
liderów. Tegoroczne wyniki wskazują, że
około 40% respondentów określa siebie
jako przodowników. To niewiele mniej
niż wskazują wyniki globalnej wersji
raportu (tam takie podejście zadeklarowało
50% pytanych). Prawie jedna czwarta
mówi, że jest lepsza w opracowaniu
odpowiedniej strategii niż we wdrożeniu jej
w życie, w związku z czym kwalifikujemy ich
do kategorii strategów. Natomiast ci,
którzy deklarują, że są lepsi w rozwiązaniu
problemu niż w opracowaniu skutecznej
strategii – tzw. taktycy – stanowią około
20% pytanych. Ostatnia grupa, która nie
realizuje skutecznej strategii i zazwyczaj
działa reaktywnie, to strażacy (około 15%
respondentów).
The Global State of Information Security ® Survey 2014
Wykres 2: Przodownicy a liderzy
40%
26%
Category 1 Category 2Przodownicy Liderzy
Szczegółowe omówienie wyników 9
Czy przodownicy są rzeczywiście
liderami?
Samoocena przeprowadzona w taki sposób
pozostaje mimo wszystko dość
subiektywna. Dlatego też dokładniej
przeanalizowaliśmy nasze dane
i stworzyliśmy odpowiednie kryteria, które
określają prawdziwego lidera – nie na
podstawie samooceny, lecz podejmowanych
przez niego działań i prezentowanych
możliwości.
Prawdziwy lider w organizacji musi
zadeklarować, że:
• jego organizacja posiada ogólną strategię
bezpieczeństwa,
• zatrudnia dyrektora ds. bezpieczeństwa
informacji (CISO), który odpowiada za
program bezpieczeństwa i raportuje co
najmniej do członka zarządu lub
najwyższego kierownictwa,
• dokonuje pomiarów i przeglądów
skuteczności zasad i procedur
bezpieczeństwa informacji w organizacji,
• wie dokładnie, jakiego rodzaju zdarzenia
bezpieczeństwa wystąpiły w ostatnim
roku.
Na podstawie powyższych kryteriów
stwierdziliśmy, że tylko 26% wszystkich
respondentów z Polski kwalifikuje się jako
prawdziwi liderzy. Działają oni głównie
w dużych firmach, o przychodzie ponad 5
mld złotych, w następujących branżach:
• bankowość detaliczna lub doradztwo
finansowe,
• telekomunikacja,
• przemysł wydobywczy.
Dane światowe wskazują, że
prawdziwi liderzy wykrywają
więcej incydentów
bezpieczeństwa, lepiej
rozumieją, jakie typy
incydentów wystąpiły w ich
organizacjach oraz są w stanie
określić ich źródło. Raportują
również niższe straty
finansowe, które są wynikiem
zmaterializowania się
potencjalnych zagrożeń.
The Global State of Information Security ® Survey 2014Szczegółowe omówienie wyników10
Powód do niepokoju: nakłady są
niskie
Mimo że większość respondentów deklaruje
duże zaangażowanie oraz wykazuje znaczny
optymizm, to jednak budżet działań
podejmowanych w związku
z bezpieczeństwem informacji wciąż
pozostaje na niskim poziomie. Nasze wyniki
wskazują, że stanowi on jedynie 2,7% całego
budżetu IT. Można więc stwierdzić, że chęć
działania oraz rosnące zaangażowanie
spotykają się ze znaczącymi ograniczeniami
finansowymi. Dla porównania – globalnie
budżet bezpieczeństwa wynosi średnio
3,8% budżetu IT przy jednocześnie
nieporównywalnie większej skali wydatków
na technologie IT.
Jakie są jednak przyszłe oczekiwania?
Większość respondentów nie spodziewa się
znaczącej poprawy aktualnej sytuacji. Tylko
33% pytanych z Polski twierdzi, że budżet
na bezpieczeństwo informacyjne wzrośnie
w ciągu następnych 12 miesięcy. W tej
kategorii pozostajemy w tyle za innymi
rynkami, na których oczekuje się wzrostu
wysokości nakładów na bezpieczeństwo
informacyjne (51% odpowiedzi w ankiecie
globalnej).
Tylko
33%ocenia, że budżet na
bezpieczeństwo
informacyjne wzrośnie.
The Global State of Information Security ® Survey 2014 Szczegółowe omówienie wyników 11
Dzisiejsze zagrożenia,
wczorajsze strategie
Trudno zignorować falę doniesień na temat
coraz bardziej wyrafinowanych – i często
coraz bardziej skutecznych – metod ataków,
które miały miejsce na świecie w ostatnim
roku. Ponieważ informacje te bardzo często
są upubliczniane w oczekiwaniu na
wzbudzenie sensacji, konieczna jest ich
dokładna weryfikacja.
Wyniki globalnego badania wskazują, że
liczba incydentów związanych
z bezpieczeństwem wzrosła o ponad 25%
w porównaniu z rokiem poprzednim.
Takie wyniki sugerują, że coraz większy
szum medialny wokół kwestii
bezpieczeństwa teleinformatycznego jest
w pełni uzasadniony – niepokój przy tym
budzi fakt, że wzrost ten wydaje się nie
dotyczyć polskich przedsiębiorstw. Biorąc
pod uwagę, że według niezależnych badań
75% ataków wynika wyłącznie z samego
faktu istnienia luki w zabezpieczeniach,
a nie atrakcyjności celu, rozbieżności w tym
zakresie mogą wynikać z niższej
efektywności procesów i rozwiązań
związanych z wykrywaniem incydentów
bezpieczeństwa.
„Obecnie jest tylko kwestią
czasu, czy dana firma stanie się
ofiarą. Należy założyć, że
incydent naruszenia
bezpieczeństwa już nastąpił,
tylko jeszcze go nie wykryliśmy.
Oznacza to, że zarządzanie
kryzysowe i bezpieczeństwo
zaczęły się przenikać i muszą
być traktowane łącznie.”
Rafał Jaczyński, Lider PwC Cyber
Security
2 5622 989
3 741
2011 2012 2013
Wykres 3: Średnia liczba incydentów związanych z bezpieczeństwem w ostatnich 12 miesiącach (w globalnym raporcie)
2011 2012 2013
The Global State of Information Security ® Survey 2014Szczegółowe omówienie wyników12
„Zwiększenie liczby
wykrywanych incydentów
naruszenia bezpieczeństwa
teleinformatycznego nie
świadczy o nieskuteczności
wdrożonych strategii
zabezpieczeń – wręcz
przeciwnie – dzięki nowym
technologiom i procesom
monitorowania organizacje
mogą szybciej wykrywać
zagrożenia i ataki hakerów.”
Patryk Gęborys, Menedżer PwC Cyber
Security
Tezę o słabszym przygotowaniu polskich
firm do wykrywania i obsługi incydentów
bezpieczeństwa potwierdzają wyniki
pokazujące, ilu respondentów nie
dysponuje wiedzą o liczbie incydentów
bezpieczeństwa, które wystąpiły w danej
organizacji. W Polsce udział ten wynosi
22%, o 4 punkty procentowe więcej niż
globalny poziom odniesienia.
Wzrost ryzyka nowych zagrożeń wraz ze
wzrostem ilości współdzielonych danych
biznesowych sprawia, że najczęstszym
skutkiem potencjalnych incydentów
bezpieczeństwa jest utrata lub kradzież
danych. W Polsce niemal połowa wszystkich
ataków kończy się wyciekiem lub
niedostępnością pewnych informacji.
Analogicznie raport globalny także
wskazuje, że wspomniane ryzyko staje się
coraz bardziej poważne – utrata danych jest
skutkiem 24% wszystkich incydentów,
o 16% więcej niż w ubiegłym roku.
Po przeanalizowaniu szczegółowych
skutków incydentów związanych
z bezpieczeństwem w Polsce można dojść
do nowych wniosków. W niemal połowie
przypadków incydenty te dotyczą marki lub
reputacji. Wiąże się to z rodzajem
informacji, które mogą być ujawnione.
Zazwyczaj są to informacje dotyczące
własności intelektualnej lub tożsamości
klienta lub pracownika. Praktycznie
wszyscy respondenci odpowiedzieli, że to
właśnie te dane są w ich organizacjach
traktowane jako najważniejsze. Wydaje się
więc naturalne, że ochrona powinna
skupiać się na tych danych, które stają się
najczęstszym celem ataków. Wyniki ankiety
jednak wskazują, że zastosowane środki
bezpieczeństwa nie pozwalają na efektywne
zwalczanie ryzyka ich kradzieży, a kradzież
własności intelektualnej znajduje się
w czołówce skutków incydentów
bezpieczeństwa.
40%
30%
20%15% 15% 15%
Category 1 Category 2 Category 3 Category 4 Category 5 Category 6
Wykres 4: Skutki incydentów bezpieczeństwa w Polsce
Zagrożenie dla marki/reputacji
Kradzież „miękkiej” własności intelektualnej (np.procesów, wiedzyinstytucjonalnej itp.)
Kradzież tożsamości (informacji o kliencielub pracowniku)
Kradzież „twardej” własności intelektualnej (np.strategicznychplanówprzedsiębiorstwa, dokumentówdotyczących transakcji, itp.)
Narażenie na ryzyko prawne/pozew
Utrata lubuszkodzenieewidencjiwewnętrznej
Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź.
The Global State of Information Security ® Survey 2014 Szczegółowe omówienie wyników 13
Koszty i stopień
skomplikowania procedur
reagowania na incydenty
rosną. Dotyczy to
przeprowadzenia dochodzenia,
zrozumienia ryzyk
biznesowych, opanowania
incydentów i poinformowania
partnerów, a także
ewentualnego postępowania
sądowego. Dodatkowo wzrasta
koszt działań naprawczych,
trzeba bowiem analizować
coraz większą liczbę aktów
w ramach różnych obszarów
jurysdykcji, a kontrole
bezpieczeństwa nie dotrzymują
tempa ciągle zmieniającemu się
środowisku i zagrożeniom.
Osoby z wewnątrz organizacji, osoby
trzecie oraz hakerzy
Jak co roku, zapytaliśmy naszych
respondentów o przypuszczalne źródła
incydentów bezpieczeństwa. Ponad połowa
ankietowanych z Polski wskazała na osoby
z „wewnątrz” organizacji – pracowników
lub dostawców. Uczestnicy globalnej edycji
ankiety również wskazują, że dominującym
źródłem incydentów są osoby z wewnątrz
organizacji i zaufani partnerzy.
Wyniki globalnego badania GISS warto
zestawić z niezależnymi raportami
przygotowanymi w oparciu o rzeczywiste
dane z analizowanych incydentów: według
Verizon 2013 Data Breach Investigations
Report źródłem znakomitej większości
(92%) incydentów były osoby trzecie,
a większość (52%) była związana
z włamaniami do systemów
informatycznych. To porównanie wymaga
komentarza.
Dotychczas nienaruszalnym dogmatem
zarządzania bezpieczeństwem było
twierdzenie, że większość incydentów jest
powodowana przez pracowników. Sądzimy,
że pora już odłożyć to założenie do lamusa
i podkreślić, że pracownicy
i współpracownicy firm coraz rzadziej stają
się inicjatorami nadużyć – coraz częściej
natomiast są świadomymi lub
nieświadomymi współpracownikami
przestępców. Zmiana podejścia nie oznacza
bynajmniej powrotu do koncepcji budowy
„muru” na granicy ze światem
zewnętrznym; oznacza, że pracownicy oraz
zasoby informatyczne bezpośrednio przez
nich wykorzystywane (komputery, systemy
i sieci biurowe, usługi internetowe) są tak
naprawdę kolejnym frontem, który
powinny uwzględniać firmowe linie
obronne.
3%
5%
10%
15%
Category 6
Category 5
Category 4
Category 3
5%
10%
10%
25%
Category 10
Category 9
Category 8
Category 7
25%
50%
Category 2
Category 1Aktualni pracownicy
Byli pracownicy
Aktualni dostawcy usług/konsultanci/ wykonawcy
Klienci
Byli dostawcy usług/konsultanci/ wykonawcy
Brokerzy informacji
Hakerzy
Konkurenci
Przestępczość zorganizowana
Aktywiści/organizacje aktywistów/ aktywiści-hakerzy
Osoby z wewnątrz organizacji
Zaufani partnerzy
Osoby trzecie
Wykres 5: Przypuszczalne źródła incydentów
Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź.
The Global State of Information Security ® Survey 2014Szczegółowe omówienie wyników14
Jedną z przyczyn, dla których
organizacje nie posiadają
efektywnych planów w zakresie
zagrożeń wewnętrznych, czy
też wynikających z pewnych
klas partnerów (dostawcy,
itp.), jest zbyt daleko idące
zaufanie do sieci wewnętrznej.
W biznesie trzeba zrozumieć,
że zaufanie nie powinno być
automatycznym założeniem.
Słaba obrona
Aby poradzić sobie z aktualnymi
zagrożeniami, organizacje powinny
zrozumieć otoczenie – w tym podatności na
ataki, którym należy zapobiec, oraz
nowe zagrożenia. Działania i inwestycje
należy realizować zgodnie z najlepszą
dostępną wiedzą i dostosowywać do
biznesowego otoczenia organizacji.
Dla wielu oznacza to zdecydowaną zmianę
w procesie myślenia i planowania. Nie jest
więc zaskakujące, że wielu respondentów
przyznaje, iż w ich organizacjach nie wdraża
się technologii i procesów, które zapewniają
przegląd i analizę możliwych ryzyk
i zagrożeń. Na przykład 55% pytanych
w Polsce nie wdraża mechanizmów
profilowania i monitorowania zachowań,
42% respondentów nie ma natomiast
planów wykorzystywania systemów
monitorowania i zarządzania zdarzeniami
(SIEM). Narzędzia do zarządzania
aktywami, które są najważniejszym
elementem strategii ochrony danych
w organizacji, nie zostały ujęte w planach
inwestycyjnych 41% respondentów.
Z drugiej strony warto jednak wspomnieć,
że respondenci w Polsce dość często stosują
narzędzia zapobiegające utracie danych
(DLP) oraz systemy wykrywania
i zapobiegania włamaniom (IPS) – tak
wskazało odpowiednio 57% i 60% pytanych.
Dane w organizacjach są coraz częściej
rozproszone i współdzielone pomiędzy
wielu partnerów, dostawców,
zleceniobiorców oraz klientów. Niezwykle
ważną kwestią staje się ochrona tych
danych oraz zrozumienie potencjalnego
ryzyka związanego z ich współdzieleniem.
Co więcej, organizacje powinny być pewne,
że trzecie strony spełniają wymagania
dotyczące ochrony prywatności danych.
Respondenci w Polsce deklarują, że
w większości przypadków (74%)
wymagają, aby podmioty zewnętrzne
(w tym zewnętrzni usługodawcy w ramach
outsourcingu) przestrzegały firmowej
polityki bezpieczeństwa. Podczas gdy ponad
połowa (54%) prowadzi spis wszystkich
podmiotów zewnętrznych, które mają do
czynienia z danymi osobowymi
pracowników i klientów, to tylko 34%
deklaruje, że regularnie przeprowadza
odpowiednie audyty, aby mieć pewność, że
osoby trzecie zdołają zapewnić ochronę
takich informacji.
Jak już wspomnieliśmy, podwyższone
ryzyko i rosnące zagrożenia wymagają, aby
w organizacji uświadamiano sobie, że
w dzisiejszych czasach ochrona wszystkich
informacji na takim samym
– priorytetowym – poziomie nie jest już
realna ani nawet możliwa. W nowym
modelu bezpieczeństwa biznes powinien
zidentyfikować i przypisać odpowiednie
znaczenie tym zbiorom informacji, które są
najważniejsze dla działania organizacji.
The Global State of Information Security ® Survey 2014 Szczegółowe omówienie wyników 15
W Polsce organizacje dość chętnie stosują
mechanizmy ochrony urządzeń mobilnych.
Nadal jednak mniej niż połowa z nich
wdrożyła mechanizmy umożliwiające
zdalne zarządzanie urządzeniami
mobilnymi (MDM), które są kluczowym
narzędziem do zautomatyzowanego
zarządzania zbiorem służbowych
smartfonów.
63%59%
48%44% 44%
7%
35%30%
39% 37%42%
19%
Klasyfikacja wartościbiznesowej
Zakaz używania lubdostępu do sieci zwłasnych urządzeń
użytkownika wmiejscu pracy
Oprogramowanie dozarządzania
urządzeniamimobilnymi (MDM)
Ochrona firmowejpoczty elektronicznej
i kalendarzy naurządzeniach
własnychpracownika iużytkownika
Strategiabezpieczeństwa
urządzeń mobilnych
Korzystanie zmechanizmów
kontroligeolokalizacji
Polska Świat
Mocneuwierzytelnianie naurządzeniach
Zakaz używania lub dostępu do sieci z własnych urządzeń użytkownika w miejscu pracy
Oprogramowanie dozarządzania urządzeniami mobilnymi (MDM)
Ochrona firmowejpoczty elektroniczneji kalendarzy naurządzeniach firmowychi prywatnych
Strategiabezpieczeństwa urządzeń mobilnych
Korzystaniez mechanizmówkontroligeolokalizacji
Wykres 6: Inicjatywy dotyczące urządzeń mobilnych
Urządzenia mobilne
powszechnie pojawiają się
w firmowych sieciach,
a użytkownicy coraz częściej
domagają się ułatwienia im
dostępu do firmowych
zasobów. Działy IT
i bezpieczeństwa informacji
muszą znaleźć balans między
oczekiwaniami biznesu
a wymaganiami regulacyjnymi
i ochrony informacji.
Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź.
Kluczowym ryzykiem w zakresieprywatności danych jest silny wzrost użycia urządzeń mobilnych takich jak smartfonyczy tablety, a także stosowanie polityki „bring your own device” (BYOD)w organizacjach. Podczas, gdy skalawykorzystania urządzeń mobilnych do współdzielenia i przesyłania danych jest coraz większa, proces wdrożenia nowych mechanizmów bezpieczeństwa urządzeń mobilnych jest zdecydowanie opóźniony, co szczególnie widać po globalnych wynikach ankiety.
The Global State of Information Security ® Survey 2014Szczegółowe omówienie wyników16
niewiele organizacji korzystających z usług
chmury obliczeniowej stosuje odpowiednią
politykę prywatności – deklaruje to tylko
17% respondentów.
Zagrożenia typu APT (ang. Advanced
Persistent Threats) cieszą się zdecydowanie
większą uwagą mediów. Ogólny trend
wskazuje, że w przyszłości mogą one
stanowić dużą część wszystkich zagrożeń.
Hakerzy są coraz częściej wskazywani jako
potencjalne źródło ataków, dlatego
niepokojące wydaje się to, iż tylko 30%
pytanych w Polsce wdrożyło zabezpieczenia
przeciwko takim zagrożeniom. Dla
porównania – ponad połowa respondentów
ankiety w ujęciu globalnym twierdzi, że
stosuje już odpowiednie środki zaradcze.
Chmury obliczeniowe są w powszechnym
użyciu już od ponad dekady i stają się
jednym z głównych elementów
infrastruktury serwerowo-usługowej
organizacji. Prawie połowa (48%)
respondentów z Polski odpowiedziała, że
w ich organizacji wykorzystuje się tę
technologię. Wśród tych osób 33%
stwierdziło, że bezpieczeństwo poprawiło
się dzięki przejściu na taki model dostawy
usług. Pojawiły się też jednak nowe
wątpliwości – 25% pytanych nie ma
pewności, czy w takim środowisku możliwe
jest odzyskanie danych. Taka sama część
respondentów ma wątpliwości co do
kontroli uprzywilejowanego dostępu na
stronie internetowej dostawcy usług.
Mimo wszystko zaskakujące jest to, że
Tylko
17%respondentów ocenia, że
wdrożyli polityki dotyczące
stosowania usług
w chmurze.
The Global State of Information Security ® Survey 2014 Szczegółowe omówienie wyników 17
Liderzy dopasowują bezpieczeństwo do
specyficznych potrzeb biznesowych,
ustalają standardy dla zewnętrznych
partnerów oraz zarządzają
bezpieczeństwem już od samych jego
podstaw. Na przykład aż w 83%
przypadkach, organizacje liderów w Polsce
zatrudniają członka zarządu, który aktywnie
dba o przekazywanie informacji na temat
znaczenia bezpieczeństwa informacji dla
całej organizacji. Ponadto 67% z nich
zadeklarowało, że tworzą ogólnofirmowy
zespół, który regularnie spotyka się w celu
koordynacji i komunikowania kwestii
bezpieczeństwa informacyjnego.
Polityki bezpieczeństwa i wsparcie
kierownictwa to dopiero początek. Miarą
prawdziwych intencji może być to, czy
przedsiębiorstwa wdrożyły odpowiednie
technologie, które pozwolą zrealizować te
polityki.
Przygotowując się na
nadchodzące zagrożenia
Dzisiaj potencjalni atakujący wciąż
doskonalą swoje umiejętności i możliwości,
dzięki którym mogą wykorzystać coraz
więcej wykrytych podatności. Zapobieganie
tym zagrożeniom będzie wymagało od
organizacji odpowiedniego podejścia,
w tym dopasowania działań i realizowanych
inwestycji oraz wsparcia ich najlepszą
dostępną wiedzą – użyteczną w otaczającym
ich środowisku biznesowym.
Tegoroczny raport wskazuje, że organizacje,
które posiadają cechy lidera, częściej
implementują odpowiednie polityki, na
mocy których bezpieczeństwo jest włączane
do podstawowych celów biznesowych całej
organizacji, a nie tylko pionu IT.
Zaangażowanie
w bezpieczeństwo wyższego
kierownictwa i zarządu
zapewnia implementację
spójnego programu
bezpieczeństwa.
38%
75%81% 78%
58%67%
83% 83% 83% 83%
Ogólnofirmowy zespół Scentralizowane procesy Strategiabezpieczeństwa
Ustalone minimalne W organizacji
Wszyscy Liderzy
Ogólnofirmowy zespół, który regularnie spotykasię w celu koordynacji i komunikowania kwestiibezpieczeństwa informacyjnego
Scentralizowane procesyzarządzania bezpieczeństwem informacji
Strategiabezpieczeństwa informacji dostosowanado specyficznych potrzebdziałalności
Ustalone minimalnewymogi/standardybezpieczeństwa dla partnerów zewnętrznych /klientów/dostawcówtowarów lub usług
W organizacji jestczłonek zarządu, który aktywnie dbao przekazywanieinformacji na tematznaczeniabezpieczeństwa informacji dla całej organizacji
Wykres 7: Aktualne polityki i środki bezpieczeństwa w polskich organizacjach
Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź.
The Global State of Information Security ® Survey 2014Szczegółowe omówienie wyników18
Liderzy zdecydowanie częściej wdrażają
narzędzia, dzięki którym mogą analizować
podejrzane zdarzenia w czasie
rzeczywistym. Na przykład 83% liderów
wskazuje, że implementują oni w swoich
organizacjach technologie z zakresu
monitorowania i zarządzania zdarzeniami
(SIEM). Podobna liczba respondentów
sklasyfikowanych jako liderzy wskazała, że
w ich organizacjach wykorzystuje się
narzędzia korelacji zdarzeń dotyczących
bezpieczeństwa, przedstawiające ogólny
obraz analizy na podstawie danych z wielu
źródeł (m.in. skanery podatności czy
wykrywania włamań). Narzędzia do
skanowania systemów pod kątem luk
bezpieczeństwa i podatności są dość często
wykorzystywane przez wszystkich
respondentów – ogółem 67% wskazuje, że
posiada takie oprogramowanie.
Podczas gdy skupiamy się na działaniach
realizowanych przez liderów, musimy
pamiętać, że wymienione technologie są
bardzo istotnymi elementami
dzisiejszych mechanizmów zabezpieczeń
i wszystkie organizacje powinny rozważyć
ich wprowadzenie.
Innym przykładem jest realizacja programu
podnoszenia świadomości. Ponad 56%
wszystkich badanych wskazało, że prowadzi
Mechanizmy bezpieczeństwa, które są priorytetem na najbliższe 12 miesięcy:
• monitorowanie nieuprawnionego dostępu lub użycia,
• szyfrowanie smartfonów (np. iPhone, BlackBerry, urządzenia z systemem Android),
• strategia bezpieczeństwa dotycząca korzystania przez pracowników z własnych urządzeń na terenie przedsiębiorstwa,
• strategia bezpieczeństwa mediów społecznościowych,
• procedury reagowania na incydenty, także w zakresie zgłaszania przypadków naruszenia zasad do podmiotów zewnętrznych, które mają do czynienia z danymi oraz obsługą takich zgłoszeń,
• profilowanie i monitorowanie zachowań,
• program szkoleń z zakresu wiedzy o bezpieczeństwie,
• przeprowadzanie oceny ryzyka w odniesieniu do wewnętrznych i zewnętrznych zagrożeń dla prywatności, poufności oraz integralności ewidencji papierowej i elektronicznej zawierającej dane osobowe (np. przez audyt wewnętrzny),
• standardy/procedury dotyczące bezpieczeństwa urządzeń przenośnych,
• strategia bezpieczeństwa chmury obliczeniowej,
• systemy wykrywania i zapobiegania włamaniom (IPS),
• wykrywanie złośliwego oprogramowania w urządzeniach mobilnych.
szkolenia w tym zakresie. Ponieważ coraz
więcej ataków dotyczy pracowników (m.in.
przy wykorzystaniu socjotechniki),
wszystkie organizacje powinny prowadzić
taki program, aby uchronić się przed
najbardziej podstawowymi zagrożeniami.
Aby ocenić priorytety respondentów
z Polski w zakresie przygotowań do nowych
zagrożeń w przyszłości, przygotowaliśmy
listę najważniejszych elementów
bezpieczeństwa na najbliższe 12 miesięcy.
Część przygotowań dotyczy urządzeń
mobilnych, a w szczególności szyfrowania
ich zawartości oraz wprowadzenie
odpowiednich procedur i standardów
bezpieczeństwa. Organizacje planują
również wprowadzenie regulacji
związanych z mediami społecznościowymi
oraz dotyczących korzystania przez
pracowników z własnych urządzeń na
terenie przedsiębiorstwa. Priorytetem
pozostaje również realizacja nowych
strategii w zakresie monitorowania
i wykrywania incydentów bezpieczeństwa.
W obliczu nowych zagrożeń, za przejaw
dobrych praktyk uznajemy wprowadzenie
programu szkoleń
z zakresu wiedzy o bezpieczeństwie oraz
ocenę ryzyka w odniesieniu do zagrożeń
dotyczących danych osobowych. Nasze
analizy wskazują, że te obszary aktualnie
mogą stanowić istotną lukę w strategii
bezpieczeństwa organizacji, dlatego
podjęcie odpowiednich inicjatyw może
w znacznym stopniu zmniejszyć poziom
ryzyka przy jednoczesnym wzroście
świadomości istnienia potencjalnych
zagrożeń.
The Global State of Information Security ® Survey 2014 Szczegółowe omówienie wyników 19
W ostatnim roku wymiana informacji na
temat zagrożeń – nawet pomiędzy
konkurentami – stała się bardzo silną
bronią przeciwko potencjalnym atakom.
Wierzymy, że współpraca umożliwi
organizacjom szybsze dostosowanie się do
zmian rynkowych. Zgodnie z wynikami 5
edycji ankiety Annual Digital IQ Survey,
przeprowadzanej również przez PwC, firmy,
których najwyżsi przedstawiciele ze sobą
współpracują, często osiągają lepsze wyniki.
Zainteresowaliśmy się, jaka część polskich
respondentów, z których wielu działa
w silnie konkurencyjnym otoczeniu,
decyduje się współpracować, aby poprawiać
zabezpieczenia i wymieniać się
informacjami o zagrożeniach. Okazało się,
że wiele organizacji uważa taką współpracę
za korzystną: 52% pytanych stwierdziło, że
oficjalnie współpracuje z innymi
podmiotami w branży (w tym
z konkurencją) na rzecz poprawy
bezpieczeństwa i ograniczenia ryzyka
w przyszłości, wśród zidentyfikowanych już
wcześniej liderów udział ten wynosi 83%.
Pod tym względem wyniki uzyskane
w Polsce są niemal identyczne jak
w raporcie globalnym. Oczywiście warto
pamiętać, że wyniki dotyczą firm, które
zdecydowały się wziąć udział w badaniu
– po uwzględnieniu znacząco mniejszej
popularności tego rodzaju badań wśród
rodzimych przedsiębiorstw uzasadnione
jest stwierdzenie, że skłonność do
współpracy i wymiany informacji
o zagrożeniach pozostaje w Polsce na
poziomie znacząco odbiegającym od
najlepszych światowych praktyk.
Wśród 36% pytanych, którzy nie
zadeklarowali współpracy z innymi
podmiotami, podstawowym powodem, dla
którego rezygnują oni z takiej formy
wsparcia, jest brak pewności, czy taka
współpraca mogłaby przynieść jakieś
bezpośrednie korzyści. W organizacjach
często uważa się, że konkurencja nie jest
wcale bardziej zaawansowana w tematyce
bezpieczeństwa (33% pytanych). Należy
jednak pamiętać, że już samo zetknięcie się
z różnymi formami zagrożeń może stanowić
podstawę do wymiany doświadczeń.
Pozostałe powody wskazują raczej na
bezpośredni brak zaufania do konkurencji
i obawę, że uzyskane informacje mogłyby
być wykorzystane przeciwko inicjatorom
takich przedsięwzięć.
11%
22%
22%
33%
uważamy
obawiamy się
Nie chcemy
Nie sądzimyNie sądzimy, by którykolwiek z konkurentów był znacząco bardziej zaawansowany od pozostałych
Nie chcemy zwracać uwagi na nasze potencjalne słabości/podatności na zagrożenia
Obawiamy się, że konkurencja mogłaby wykorzystać takie informacje przeciwko nam
Uważamy, że większe organizacje, dysponujące większymi środkami finansowymi, wykorzystałyby taką
współpracę dla własnej korzyści
Wykres 8: Dlaczego firmy nie współpracują z konkurencją w celu poprawy bezpieczeństwa?
Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź.
The Global State of Information Security ® Survey 2014Szczegółowe omówienie wyników20
bezpieczeństwa. Dla porównania
– w globalnej edycja ankiety
przeszkoda ta znajduje się dopiero na
piątym miejscu. To sugeruje, że w polskich
organizacjach może brakować skutecznych
programów szkoleń czy certyfikacji.
Problem z pozyskaniem funduszy na
inicjatywy związane z bezpieczeństwem jest
równie poważny. Potwierdza się więc nasz
wcześniejszy wniosek, że budżet na
bezpieczeństwo jest zbyt mały
w porównaniu z ogólnymi nakładami na IT
w polskich organizacjach. Pozostali
respondenci wskazują również brak
odpowiedniej wizji, zgodnie z którą można
by określić wpływ przyszłych potrzeb
przedsiębiorstwa na strategię rozwoju
bezpieczeństwa informacyjnego lub nawet
brak samej strategii.
Interesujące wydaje się również to, że część
z ankietowanych wskazała postawę
wyższego kierownictwa jako potencjalną
przeszkodę w realizacji skutecznej
strategii bezpieczeństwa. Z globalnego
raportu wyłania się ciekawe zjawisko
wynikające z korelacji odpowiedzi
respondentów i zajmowanych przez nich
stanowisk. Dyrektorzy naczelni (CEO)
wskazali swoją postawę jako podstawową
przeszkodę realizacji skutecznego planu
poprawy efektywności strategicznej pionu
bezpieczeństwa. Dyrektorzy finansowi
(CFO) również obwiniają dyrektorów
naczelnych. Natomiast CISO, a więc osoby
bezpośrednio odpowiedzialne za
bezpieczeństwo w organizacji, wskazują
niewystarczające nakłady inwestycyjne oraz
brak lub niedobór specjalistycznej wiedzy
technicznej wewnątrz organizacji. Dla
dyrektorów ds. informatyki (CIO)
przeszkodą jest brak strategii i wizji oraz
sama kadra zarządzająca – przede
wszystkim dyrektor naczelny i część zarządu
związana bezpośrednio z bezpieczeństwem.
Brak przejrzystości, jeśli chodzi
o potencjalne przeszkody
wskazuje, że przedstawiciele
biznesu nie zaangażowali się
wystarczająco w rozmowy
dotyczące bezpieczeństwa.
Budowanie kultury
bezpieczeństwa wymaga
pełnego wsparcia najwyższych
zarządzających, w tym CEO
i zarządu. To musi być
nieustająca i żywa dyskusja.
Największe przeszkody
Większość osób, które zajmują się
bezpieczeństwem w organizacji, zgadza się,
że należy podjąć nowe działania, które
mogłyby polepszyć bezpieczeństwo
informacyjne. Istnieje jednak wiele
przeszkód ograniczających efektywność
wdrożenia nowych mechanizmów
bezpieczeństwa. Zapytaliśmy polskich
respondentów, które z nich stanowią
największą przeszkodę i okazało się, że
potencjalne problemy wynikają z wielu
różnych obszarów działalności
przedsiębiorstwa.
Wśród pytanych panuje przekonanie, że
osoby z wewnątrz organizacji nie posiadają
wystarczająco specjalistycznej wiedzy, aby
skutecznie wdrażać nowe praktyki
8%
12%
15%
23%
27%
35%
38%
42%
42%
Kierownictwo: członek zarządu
Kierownictwo: dyrektor
Kierownictwo
Brak skutecznej
Slabo
Niewystarczające
Brak przekładalnej
Niewystarczające nakłady
Brak lub niedobórBrak lub niedobór specjalistycznej wiedzy technicznej wewnątrz organizacji
Niewystarczające nakłady inwestycyjne
Brak przekładalnej na działania wizji lub wiedzy o tym, jak przyszłe potrzeby przedsiębiorstwa wpływają na bezpieczeństwo informacji
Niewystarczające nakłady operacyjne
Słabo zintegrowane lub nadmiernie skomplikowane systemy informatyczne i informacyjne
Brak skutecznej strategii bezpieczeństwa informacji
Kierownictwo: członek zarządu/dyrektor ds. informatyki (CIO) lub odpowiednik
Kierownictwo: dyrektor naczelny (CEO), prezes, zarząd lub ich odpowiednik
Kierownictwo: członek zarządu/dyrektor ds. bezpieczeństwa informacji (CISO)/bezpieczeństwa (CSO) lub ich odpowiednik
Wykres 9: Największe przeszkody utrudniające poprawę ogólnej efektywności strategicznej pionu bezpieczeństwa w organizacji
Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź.
The Global State of Information Security ® Survey 2014 Szczegółowe omówienie wyników 21
Praktyki bezpieczeństwa – Europa a Polska
przewyższa średnie dane dla Europy (55%).
Podobne zależności można zauważyć
w zakresie procedur ochrony własności
intelektualnej. Mimo że te elementy polityki
bezpieczeństwa nie są jeszcze powszechne
w krajach europejskich, wyniki ankiety
wśród organizacji w Polsce wskazują na
lepszą gotowość do przyjmowania tego
rodzaju dobrych praktyk.
Europa Polska
Czy budżet na bezpieczeństwo IT wzrośnie w ciągu 12 miesięcy? 46% 33%
Istnieje ogólna strategia bezpieczeństwa informacji 77% 75%
Spółka zatrudnia członka zarządu/dyrektora ds. bezpieczeństwa informacji (CISO), który odpowiada za program bezpieczeństwa
68% 36%
Czy w organizacji jest członek zarządu, który aktywnie dba o przekazywanie informacji na temat znaczenia bezpieczeństwa informacji dla całej organizacji?
51% 57%
Plany zapewnienia ciągłości działania/działań odtworzeniowych 45% 75%
Wymóg, by podmioty zewnętrzne (w tym zewnętrzni usługodawcy w ramach outsourcingu) przestrzegały firmowej polityki ochrony prywatności
55% 74%
Program szkoleń z zakresu wiedzy o bezpieczeństwie 55% 56%
Procedury ochrony własności intelektualnej 17% 35%
Systemy wykrywania i zapobiegania włamaniom (IPS) 63% 60%
Dokładny spis, gdzie gromadzi się, przesyła i przechowuje dane osobowe pracowników i klientów
52% 77%
Czy organizacja oficjalnie współpracuje z innymi podmiotami w branży (w tym z konkurencją) na rzecz poprawy bezpieczeństwa i ograniczenia ryzyka w przyszłości?
45% 52%
Tabela 1: Praktyki bezpieczeństwa – Europa a Polska
Wyniki raportu globalnego wskazują, że
inwestycje w bezpieczeństwo informacyjne
w Europie spadły o około 3% w porównaniu
z rokiem poprzednim, a tempo wdrażania
nowych technik zabezpieczeń jest również
opóźnione w stosunku do reszty świata.
W Polsce tylko 33% przedstawicieli
organizacji deklaruje, że budżet na
bezpieczeństwo IT wzrośnie, w porównaniu
z 46% wśród respondentów z całej Europy.
Wskazuje to na istotne pogorszenie
perspektyw rozwoju pionów
bezpieczeństwa w polskich organizacjach,
a co za tym idzie – zwiększone ryzyko
wzrostu liczby ataków.
Polska nie dotrzymuje również kroku
Europie, jeśli chodzi o strukturę
organizacyjną. Tylko 36% respondentów
wskazało, że ich organizacja zatrudnia
członka zarządu bezpośrednio
odpowiedzialnego za bezpieczeństwo. Dla
porównania – w Europie takie rozwiązanie
jest stosowane praktycznie dwa razy
częściej.
Z drugiej strony, polskie przedsiębiorstwa
lepiej dbają o definiowanie odpowiednich
planów ciągłości działania czy planów
odtworzeniowych. Takie podejście wskazało
74% respondentów, co zdecydowanie
„Jeżeli wydajesz więcej na
kawę, niż na bezpieczeństwo,
zostaniesz zhakowany. Więcej
– zasługujesz na to, żeby zostać
zhakowanym.”
Richard Clarke, Doradca ds.
cyberbezpieczeństwa, Biały Dom
The Global State of Information Security ® Survey 2014Podsumowanie22
Podsumowanie
Nasze podejście obejmuje cztery główne
elementy:
• Strategia
Strategia bezpieczeństwa powinna być
integralną częścią strategii biznesowej
– cyberbezpieczeństwo informacji nie
jest już wyłącznie problemem działów
IT. Zrozumienie roli i skomplikowania
zagadnień związanych
z cyberbezpieczeństwem powinno
znajdować odzwierciedlenie
w strukturze organizacyjnej i wielkości
budżetu przeznaczanego na
bezpieczeństwo.
• Świadomość
Dobrze przygotowana pod względem
bezpieczeństwa firma rozumie
ekspozycję na ryzyko oraz potencjalny
wpływ biznesowy związany z działaniem
w ramach globalnego ekosystemu, jakim
są obecnie systemy teleinformatyczne.
Świadomość firmy w zakresie
cyberbezpieczeństwa oznacza też
umiejętność pozyskiwania
i analizowania informacji
o zagrożeniach, pochodzących
z zewnątrz i wewnątrz firmy. Równie
istotna jest współpraca z innymi
podmiotami w zakresie wymiany tych
informacji – jedynie w ten sposób firmy
mogą wspólnie stawić czoła coraz
bardziej zdeterminowanym
przeciwnikom.
Jedno jest pewne: stosowane do tej pory podejście nie jest już
wystarczające w obliczu coraz szybciej zmieniających się
zagrożeń.
• Selektywność
Aby efektywnie zarządzać
bezpieczeństwem trzeba zrozumieć,
jakie informacje i zasoby są naprawdę
istotne dla działania organizacji i na nich
skoncentrować wysiłek związany
z ochroną. Dzięki temu będzie można
ograniczyć wydatki, zapewniając
równocześnie właściwy poziom
monitorowania i reakcji na incydenty.
• Responsywność
Zabezpieczenia prewencyjne nie dają
wystarczającej gwarancji, że informacje
i moc przetwarzania systemów nie padną
łupem przestępców.
Zdolność firmy do zauważenia
momentu, kiedy zastosowane
zabezpieczenia zostały przełamane
i uruchomienia adekwatnej reakcji na
incydent są aktualnie jednymi
z najważniejszych wyznaczników
dojrzałości firmy w zakresie
cyberbezpieczeństwa. Szybkość detekcji
i reakcji – na równi z jakością
zabezpieczeń prewencyjnych
– w realnych warunkach determinują
zdolność firmy do ochrony krytycznych
zasobów.
Wyniki tegorocznej ankiety pokazały
niestety utrwalenie zaobserwowanej już
wcześniej tendencji – z jednej strony nasi
respondenci deklarują postęp wdrażając
nowe zabezpieczenia, z drugiej nie
przywiązują zbytniej wagi do kluczowych
aspektów, takich jak np. określenie wartości
biznesowej informacji. Deklarują także
konieczność większych inwestycji
w bezpieczeństwo, równocześnie nie mając
nadal strategii dla nowych rozwiązań
takich, jak przetwarzanie w chmurze.
Biorąc pod uwagę zmieniające się
dynamicznie zagrożenia i otoczenie nie
dziwi nas, że obranie właściwego kierunku
nie jest proste i oczywiste. Jedno jest
pewne: stosowane do tej pory podejście nie
jest już wystarczające. Nowe ryzyka będą
wymagały zupełnie nowego podejścia do
bezpieczeństwa informacji.
Aby skutecznie odpowiedzieć na zagrożenia
przyszłości, w naszej opinii podejście do
kwestii bezpieczeństwa informacji musi
zostać oparte na dokładnej znajomości
przeciwnika, zagrożeń i środowiska. Należy
pogodzić się z tym, że incydenty
bezpieczeństwa będą występować i muszą
być uwzględnione jako jedno z ryzyk
biznesowych – którego nie można uniknąć,
ale może ono zostać ograniczone do
akceptowalnego poziomu.
The Global State of Information Security ® Survey 2014 Metodyka badań 23
Metodyka badań
Ankieta Globalny Stan Bezpieczeństwa
Informacji 2014 jest światowym
przedsięwzięciem PwC, CIO Magazine
i CSO Magazine. Została ona
przeprowadzona poprzez badanie on-line
w dniach od 1 lutego do 1 kwietnia 2013 r.
Czytelnicy magazynów CIO i CSO oraz
klienci PwC zostali zaproszeni poprzez
wiadomości elektroniczne do wzięcia
udziału w ankiecie. Światowe wyniki
omawiane w niniejszym raporcie opierają
się na odpowiedziach od ponad 9600
respondentów, wśród których znaleźli się
prezesi, członkowie zarządów firm
i organizacji, dyrektorzy i osoby
odpowiedzialne za finanse, informatykę,
bezpieczeństwo, czy też prywatność ze 115
krajów. Trzydzieści sześć procent (36%)
respondentów pochodziło z regionu
Ameryki Północnej, 26% z Europy, 21%
z Azji i Pacyfiku, 16% z Ameryki
Południowej i 2% z Bliskiego Wschodu
i Afryki. Margines błędu wynosi mniej
niż 1 %.
W tym raporcie, dane z globalnego badania
zostały porównane z wynikami z ankiety
polskiej – na zaproszenie skierowane do
klientów PwC Polska i czytelników
magazynu THINKTANK odpowiedziało
dodatkowo ponad 70 firm i organizacji
działających w Polsce. Ze względu na
ograniczoną liczbę odpowiedzi, obserwacje
wynikające z polskiej części mają charakter
jakościowy. Głównie reprezentowane wśród
polskich respondentów branże to sektor
finansowy (bankowość i ubezpieczenia),
telekomunikacyjny, usług doradczych,
wytwarzania oprogramowania oraz
przemysłu.
Nasi eksperci są do Państwa dyspozycji, zarówno w kwestiach dotyczących tego raportu, jak i wszelkich pytań związanych z bezpieczeństwem informacji i systemów teleinformatycznych.
Osoby kontaktowe– PwC Cyber Security
Piotr UrbanPartnerLider PwC Risk AssuranceK: +48 502 184 157E: [email protected]
Rafał JaczyńskiLider PwC Cyber SecurityK: +48 519 507 122E: [email protected]
Patryk GęborysK: +48 519 506 760E: [email protected]
Rafał SkoczylasK: +48 519 506 661E: [email protected]
Niniejsza prezentacja została przygotowana wyłącznie w celach ogólnoinformacyjnych i nie stanowi porady w rozumieniu polskich przepisów. Nie powinni Państwo opierać swoich działań/decyzji na treści informacji zawartych w tej prezentacji bez uprzedniego uzyskania profesjonalnej porady. Nie gwarantujemy (w sposób wyraźny, ani dorozumiany) prawidłowości, ani dokładności informacji zawartych w naszej prezentacji. Ponadto, w zakresie przewidzianym przez prawo polskie, PricewaterhouseCoopers Sp. z o.o., jej partnerzy, pracownicy, ani przedstawicielenie podejmują wobec Państwa żadnych zobowiązań oraz nie przyjmują na siebie żadnej odpowiedzialności – ani umownej, ani z żadnego innego tytułu – za jakiejkolwiek straty, szkody ani wydatki, które mogą być pośrednim lub bezpośrednim skutkiem działania podjętego na podstawie informacji zawartych w naszej prezentacji lub decyzji podjętych na podstawie tej prezentacji.
The Global State of Information Security® jest znakiem zastrzeżonym International Data Group, Inc.
© 2013 PricewaterhouseCoopers Sp. z o.o. Wszystkie prawa zastrzeżone. Nazwa „PwC” odnosi się do firm wchodzących w skład sieci PricewaterhouseCoopers International Limited, z których każda stanowi odrębny i niezależny podmiot prawny.