Raporty i ekspertyzy

Raport Ernst & Young: Niedbały pracownik większym zagrożeniem niż atak hakerski i klęska żywiołowa

04 grudnia 2012

  • Share
Raport Ernst & Young: Niedbały pracownik większym zagrożeniem niż atak hakerski i klęska żywiołowa

W ciągu ostatniego roku 3 na 4 dyrektorów IT zauważyło zwiększoną liczbę ataków zewnętrznych na dane firm, w których pracują. Jednak to nie hakerów informatycy boją się najbardziej lecz… swoich współpracowników. Zdaniem 37% respondentów Światowego Badania Bezpieczeństwa Informacji przeprowadzonego po raz 15-ty przez firmę doradczą Ernst & Young, niedbali bądź nieświadomi pracownicy to największe zagrożenie dla bezpieczeństwa informacji w firmach lub instytucjach publicznych. Między innymi  dlatego aż 45% dyrektorów IT uważa, że ograniczenie pracownikom dostępu do takich serwisów jak Facebook czy Twitter to sposób na poprawę bezpieczeństwa IT.

Z badania przeprowadzonego wśród  1850 respondentów, odpowiedzialnych głównie za działy IT i bezpieczeństwo informacji, wynika, że biznes nie nadąża za rewolucją technologiczną. Szefowie firm nadal w niewystarczającym stopniu dbają o bezpieczeństwo informacji i lekceważą zagrożenia wiążące się m.in. ze stosowaniem nowoczesnych technologii, w tym urządzeń mobilnych. 

Zwiększona presja na wzrost zysków, redukcja kosztów i szybki rozwój technologii powodują, że bezpieczeństwo informacji jest wciąż mocno zaniedbanym obszarem działalności przedsiębiorstw. Poziom ryzyka informatycznego nieustannie rośnie, co potwierdzają liczby. Aż 77% respondentów badania przyznało, że w ciągu ostatniego roku zwiększył się poziom zagrożeń zewnętrznych, a 46% przyznało, że wzrasta również poziom zagrożenia będący skutkiem wewnętrznych zaniechań.  Świadomość istnienia coraz większej ilości ryzyk niestety nie idzie w parze  ze zwiększoną skłonnością do zabezpieczania danych w zorganizowany sposób.  Aż 63% ankietowanych wskazało, że ich firmy nie mają formalnie opracowanej czy wdrożonej architektury bezpieczeństwa, a 70% jest świadoma, że stosowany system zabezpieczeń nie odpowiada w pełni potrzebom organizacji.

Potencjał i zagrożenie w jednym: nieustanny marsz nowych technologii

Smartfony, tablety, media społecznościowe, cloud computing -  w ostatnich latach nowe technologie stworzyły dla firm mnóstwo szans na rozwój, ale jednocześnie stały się  przyczyną zwiększonego zagrożenia dla bezpieczeństwa informacji. Z badania Ernst & Young wynika, że firmy w niewystarczającym stopniu dbają o procedury chroniące dane.

 -  Nawet najlepsze procedury ochrony informacji będą bezwartościowe, jeżeli nie są we właściwy sposób wdrożone. W szczególności warto poświęcić dużą uwagę podnoszeniu świadomości pracowników w zakresie bezpieczeństwa informacji, bo to właśnie „czynnik ludzki” jest najczęściej najsłabszym ogniwem systemów zabezpieczeń – mówi Michał Kurek, Starszy Menedżer w dziale Zarządzania Ryzykiem Informatycznym Ernst & Young. 

Cloud computing staje się coraz bardziej powszechnym modelem zarządzania środowiskiem IT: w ciągu ostatnich dwóch lat podwoiła się liczba organizacji korzystających z przetwarzania w chmurze. 59% organizacji korzysta lub zastanawia się nad korzystaniem z cloud computingu, a jednocześnie aż 38% respondentów przyznało, że nie podjęło żadnych działań mających zmniejszyć ryzyko związane z używaniem tej technologii.

- Jak w przypadku każdej nowej technologii, przed wdrożeniem cloud computingu konieczne jest przeprowadzenie kompleksowej analizy ryzyka, uwzględniającej zarówno zagrożenia dla poufności i integralności informacji przetwarzanych w chmurze, jak również dla ich dostępności - dodaje Michał Kurek.

Kazimierz Klonecki, Partner w dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young przyznaje: - Wirtualizacja środowiska informatycznego stanowi dużą oszczędność dla firm, ale  w dobie tak szybkiego postępu technologicznego należy zdać sobie sprawę z  zagrożeń, jakie  niesie ze sobą ta modernizacja. Incydenty związane z wyciekiem informacji lub kradzieżą danych mogą mieć poważne konsekwencje dla firm, nie tylko finansowe, ale również reputacyjne. Wobec rozwoju nowych technologii oraz wzrostu poziomu zagrożeń z nimi związanych organizacje na całym świecie muszą zweryfikować swoje podejście do bezpieczeństwa informacji.

Kolejnym istotnym obszarem w zakresie bezpieczeństwa informacji są urządzenia mobilne, takie jak np. tablety czy smartfony. Firmy, wdrażając nowe technologie, w niewystarczającym stopniu dopasowują swoje systemy bezpieczeństwa – narażając się tym samym na wyciek danych. Jedynie 40% firm zapewnia ochronę danych poprzez zastosowanie technik szyfrowania.

Media społecznościowe w coraz większym stopniu stają się kluczowym elementem w rozwoju komunikacji, również między firmą a klientem. Do największych ryzyk jakie generują media społecznościowe zalicza się m.in. wyciek wrażliwych danych stanowiących tajemnicę przedsiębiorstwa. Przebadani menedżerowie najczęściej (45%) wymieniają ograniczony lub całkowity brak dostępu do stron społecznościowych jako metodę zmniejszającą ryzyka informatyczne generowane przez ten kanał komunikacji.

Źródła zagrożeń i problemów z wdrożeniem skutecznych zabezpieczeń

Z badania Ernst & Young wynika, że największym zagrożeniem dla bezpieczeństwa informacji są nieodpowiedzialni i nieświadomi zagrożeń pracownicy – tak przyznało 37% respondentów. Inne istotne źródła zagrożenia to m.in. cyberataki, przestarzałe systemy zabezpieczające i  świadome nadużycia. Natomiast za największą przeszkodę w realizacji działań ograniczających ryzyko respondenci uznali (62%) zbyt mały budżet. Również poważnym problemem, na który zwróciło uwagę 43% przebadanych przedsiębiorstw jest brak odpowiednio wykwalifikowanej kadry, która mogłaby się zająć bezpieczeństwem informacji, dostosowywaniem procedur i wdrażaniem programów podnoszących świadomość pracowników w obszarze bezpieczeństwa, promujących m.in. świadome korzystanie z technologii mobilnych. Co piąty respondent wskazał brak wsparcia ze strony kadry zarządzającej.

 

O dziale Zarządzania Ryzykiem Informatycznym Ernst & Young

Dział Zarządzania Ryzykiem Informatycznym świadczy kompleksowe usługi mające na celu wsparcie przedsiębiorstw z różnych branż w podnoszeniu poziomu bezpieczeństwa informacji. Oferuje usługi w obszarze poprawy bezpieczeństwa systemów IT, usługi atestacyjne, zabezpieczenia procesów biznesowych, analizy i zapewnienia integralności danych czy też doradztwo w zakresie zarządzania ciągłością działania.

O Ernst & Young

Ernst & Young to międzynarodowa firma świadcząca usługi profesjonalne w zakresie audytu, doradztwa podatkowego, biznesowego i transakcyjnego. Ernst & Young w Polsce to ponad 1400 ekspertów pracujących w 6 biurach na terenie kraju: w Warszawie, Katowicach, Krakowie, Łodzi, Poznaniu i Wrocławiu. W roku 2012 firma zajęła I miejsce w Rankingu Audytorów Rzeczypospolitej i Gazety Giełdy Parkiet. Została również uznana Najskuteczniejszą Firmą Doradztwa Podatkowego w VI Rankingu Firm i Doradców Podatkowych Dziennika Gazety Prawnej i Idealnym Pracodawcą w badaniu Universum Students Survey.
www.ey.com/pl

 

Ernst & Young to międzynarodowa firma świadcząca usługi profesjonalne w zakresie audytu, doradztwa podatkowego, biznesowego i transakcyjnego. Ernst & Young w Polsce to ponad 1400 ekspertów pracujących w 6 biurach na terenie kraju: w Warszawie, Katowicach, Krakowie, Łodzi, Poznaniu i Wrocławiu. W roku 2012 firma zajęła I miejsce w Rankingu Audytorów Rzeczypospolitej i Gazety Giełdy Parkiet. Została również uznana Najskuteczniejszą Firmą Doradztwa Podatkowego w VI Rankingu Firm i Doradców Podatkowych Dziennika Gazety Prawnej i Idealnym Pracodawcą w badaniu Universum Students Survey.

www.ey.com/pl