Raporty i ekspertyzy

Bezpieczeństwo organizacji na agendzie zarządu - raport Microsoft i EY

01 grudnia 2015

  • Share
Bezpieczeństwo organizacji na agendzie zarządu - raport Microsoft i EY

Aż 83 proc. uczestników badania „Security Trends. Bezpieczeństwo w cyfrowej erze” przeprowadzonego przez Microsoft oraz EY, przyznało, że wiedza działów biznesowych na temat cyberzagrożeń wyraźnie wzrosła w ciągu ostatniego roku. Oceniają jednak, że wobec skali tych zjawisk nadal jest ona na niewystarczającym poziomie. Uczestnikami badania byli przedstawiciele zarządów odpowiedzialni za obszar bezpieczeństwa oraz informatyki (CSO, CIO, CTO), reprezentujący sektor dużych i średnich przedsiębiorstw oraz instytucji publicznych. Wskazali oni również, że kluczowe wyzwania w kontekście bezpieczeństwa informatycznego to przede wszystkim obawa przed wyciekiem danych (69 proc. ankietowanych), niefrasobliwość użytkowników (67 proc.) oraz złośliwe oprogramowanie (ang. malware), które wymieniło 67 proc. osób.

Kluczowe wnioski z badania:

  • 81 proc. CSO podkreśla konieczność edukacji użytkowników w zakresie cyberzagrożeń oraz odpowiedniego wykorzystania technologii w celu lepszej ochrony.
  • 50 proc. uczestników badania opowiada się za zintensyfikowaniem regularnej wymiany informacji o zagrożeniach i sposobach prewencji wewnątrz firmy a także bliższej współpracy z zarządem.

Ciągłość działania priorytetem dla organizacji

Według 70 proc. respondentów zapewnienie ciągłości działania systemów przedsiębiorstwa to priorytetowy obowiązek osób odpowiedzialnych za bezpieczeństwo w polskich firmach i instytucjach publicznych. Zależy ono nie tylko od realizowanych z zewnątrz ataków zagrażających bezpieczeństwu procesów w organizacji. Niezwykle istotną kwestią jest także bezpieczeństwo wewnętrzne – firmy muszą zapobiegać wydostawaniu się informacji z ich środowiska. Najlepszym rozwiązaniem w walce z tym zjawiskiem jest stosowanie bezpiecznych rozwiązań technologicznych, ale także odpowiednia edukacja użytkowników.

Kluczowe wyzwania w kontekście bezpieczeństwa informatycznego wskazane przez ankietowanych to przede wszystkim obawa przed wyciekiem danych (69 proc. ankietowanych), niefrasobliwość użytkowników (67 proc.) oraz złośliwe oprogramowanie (ang. malware), co podkreśliło 67 proc. osób. Wskazuje to zatem wyraźnie na konieczność edukacji pracowników oraz uszczelnienia procesów i zapewnienia należytego poziomu zabezpieczeń przed takimi zdarzeniami.

Narzędzia, ale i ludzie

Dla zapewnienia odpowiedniego poziomu bezpieczeństwa organizacji kluczowe znaczenie odgrywa infrastruktura i stosowane narzędzia wspomagające bezpieczeństwo. Nie można jednak zapomnieć, że równie istotna jest kwestia edukacji użytkowników w kontekście prawidłowego wykorzystania istniejących technologii podnoszących bezpieczeństwo. Wydaje się ona tym ważniejsza, że wśród czynników osłabiających odporność organizacji na zagrożenia, osoby biorące udział w badaniu najczęściej wskazywały właśnie użytkowników końcowych, którzy nie przestrzegają zasad bezpieczeństwa (81 proc.).

Brak wiedzy personelu na temat zagrożeń jest niewspółmierny z postępem technologicznym, który odbywa się na tym polu. Na kwestię niewystarczającej edukacji użytkowników wskazało aż 81 proc. pytanych. Wśród najczęściej wymienianych przewinień wskazują oni m.in. korzystanie z firmowych zasobów przy użyciu niebezpiecznego sprzętu, przekazywanie niezabezpieczonych danych między domeną prywatną, a firmową, czy wykorzystanie serwisów społecznościowych do służbowej komunikacji pomiędzy członkami zespołów. Zachowanie to wymusza prowadzenie regularnych działań edukacyjnych, co pozwoli uwrażliwić użytkowników na obszary, które mogą przyczynić się do powstawania krytycznych sytuacji i zaburzenia bezpieczeństwa działania przedsiębiorstwa.

„Organizacja powinna sprzyjać budowaniu wspólnej wiedzy, systemu wczesnego ostrzegania o zagrożeniach. Powinien powstać system wczesnego ostrzegania wspólny dla branży, kraju; są już takie inicjatywy na świecie i w Polsce” – mówi Adam Danieluk, Dyrektor Departamentu Bezpieczeństwa IT, Zgodności z wymaganiami i Poufności danych; Regional ISO Manager - Global Cyber Security and Fraud; First Data Poland, prezes ISSA Polska.

Współpraca wewnątrz organizacji kluczem do sukcesu

Połowa uczestników badania opowiedziała się za potrzebą intensyfikowania współpracy i zwiększania świadomości dotyczącej zagrożeń na poziomie zarządu przedsiębiorstwa. Stanowi to klucz do faktycznej poprawy poziomu bezpieczeństwa organizacji. Respondenci uważają, że czynnik ten, obok odpowiednio prowadzonej edukacji stanowi najważniejszy element na drodze do poprawy bezpieczeństwa. Już w przypadku 15% przedsiębiorstw temat bezpieczeństwa organizacji to kwestia regularnie poruszana na spotkaniach zarządów.

„Badanie potwierdza, że świadomość zarządu w zakresie bezpieczeństwa oraz jego wsparcie to kluczowe elementy w budowaniu skutecznego systemu zabezpieczeń. Wobec stopnia zaawansowania dzisiejszych cyberzagrożeń oraz zawrotnego tempa zmian w technologiach i wykorzystujących je procesach biznesowych, niewystarczające jest statyczne i reaktywne podejście do zapewniania bezpieczeństwa. Aby działać proaktywnie i dynamicznie dostosowywać zabezpieczenia do zmieniającego się otoczenia, kluczowa staje się efektywna komunikacja z biznesem. Niestety, nie jest to możliwe bez właściwego wsparcia ze strony zarządu oraz umiejscowienia bezpieczeństwa jako istotnego elementu strategii organizacji - zauważa Michał Kurek, dyrektor w Dziale Zarządzania Ryzykiem Informatycznym w EY.

Sojusz ludzi i technologii

Mimo, że 83 proc. ankietowanych CSO uważa, że wiedza działów biznesowych na temat cyberzagrożeń wyraźnie wzrosła w ciągu ostatniego roku, nadal jest ona na niewystarczającym poziomie. Połowa uczestników badania życzyłaby sobie intensyfikacji stałej i regularnej wymiany wiedzy na temat zagrożeń, a przede wszystkim sposobów radzenia sobie z nimi nie tylko wewnątrz organizacji, ale także w gronie przedstawicieli firm działających w tej samej lub pokrewnej branży. Zjawisko to jest najpopularniejsze wśród przedstawicieli branży finansowej (potwierdziło ten proces ponad 70 proc. badanych).

Sławomir Panasiuk, Wiceprezes Zarządu Krajowego Depozytu Papierów Wartościowych wskazuje na jeden z możliwych sposobów działania.

„W jaki sposób pracować nad uświadamianiem biznesu? Cyklicznie przeprowadzamy testy wiedzy o zasadach bezpieczeństwa wśród wszystkich pracowników na bazie intranetowego rozwiązania e-learning” – wyjaśnia Panasiuk.

Rozwiązaniem, które prowadzi do sukcesu najkrótszą drogą jest fuzja technologii i tzw. czynnika ludzkiego. Odpowiednio prowadzona strategia działań CSO musi zakładać posiadanie sojuszników w zarządach i działach biznesowych organizacji, z którymi powinni wspólnie działać na rzecz podniesienia świadomości samych użytkowników. Z drugiej strony procesy te powinny być wsparte technologią zabezpieczającą ciągłość działania organizacji i wykluczającą ryzyko wystąpienia cyberzagrożeń.

„Budowanie bezpieczeństwa organizacji to proces angażujący wiele obszarów przedsiębiorstwa. Ważne jest, aby zwiększanie świadomości całego zespołu przebiegało systematycznie i uwzględniało wszystkie poziomy organizacji – zarówno działy biznesowe, jak i zarząd. Odpowiednia strategia bezpieczeństwa musi zakładać podejście holistyczne, włączające zarówno pierwiastek technologiczny, jak i ludzki. Technologia bardzo często zawęża margines błędów, wynikający z działania człowieka. Fundament poprawy stanu rzeczy jest taki sam, bez względu na branżę której dotyczy” – mówi Dariusz Piotrowski, Dyrektor ds. Sprzedaży do Klientów Enterprise z polskiego oddziału Microsoft.

Raport „Security Trends. Bezpieczeństwo w erze cyfrowej” wskazuje na najważniejsze obszary dotyczące roli CSO w kształtowaniu procesów bezpieczeństwa wewnątrz organizacji. Badanie zostało przeprowadzone na grupie ponad stu członków zarządu odpowiedzialnych za zarządzanie obszarem informatyki, technologii i bezpieczeństwa, reprezentujących czołowe polskie przedsiębiorstwa sektora Enterprise oraz instytucje publiczne.

Raport jest dostępny pod adresem www.securitytrends2015.pl.

O firmie EY

EY jest światowym liderem rynku usług profesjonalnych obejmujących usługi audytorskie, doradztwo podatkowe, doradztwo biznesowe i doradztwo transakcyjne. Nasza wiedza oraz świadczone przez nas najwyższej jakości usługi przyczyniają się do budowy zaufania na rynkach kapitałowych i w gospodarkach całego świata. W szeregach EY rozwijają się utalentowani liderzy zarządzający zgranymi zespołami, których celem jest spełnianie obietnic składanych przez markę EY. W ten sposób przyczyniamy się do budowy sprawniej funkcjonującego świata. Robimy to dla naszych klientów, społeczności, w których żyjemy i dla nas samych.

Nazwa EY odnosi się do firm członkowskich Ernst & Young Global Limited, z których każda stanowi osobny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z odpowiedzialnością ograniczoną do wysokości gwarancji (company limited by guarantee) nie świadczy usług na rzecz klientów.

Aby uzyskać więcej informacji, wejdź na www.ey.com/pl 

O firmie Microsoft

To lider branży nowych technologii – dostawcą usług i urządzeń dla konsumentów oraz klientów instytucjonalnych i komercyjnych, które pomagają w pełni realizować ich potencjał.

Wśród sztandarowych produktów oferowanych przez Microsoft znajduje się system operacyjny Windows, z którego korzysta obecnie blisko 1,5 mld użytkowników na całym świecie. Windows 10 to największy w historii firmy Microsoft krok w kierunku jeszcze pełniejszej personalizacji, produktywności i bezpieczeństwa komputerów osobistych. Jako pierwszy w rodzinie systemów operacyjnych Microsoft system Windows 10 jest dystrybuowany w modelu usługowym (Windows-as-a-Service) co oznacza, że na bieżąco będzie aktualizowany o nowe funkcje i zabezpieczenia. W jego tworzeniu uczestniczyło ponad 5 mln użytkowników. System operacyjny Windows jest również dostępny w wersjach na platformę mobilną Windows Phone oraz platformę serwerową Windows Server.

Kluczową pozycję w portfolio firmy zajmuje Microsoft Office, powszechnie używany zestaw aplikacji wspierających komunikację i produktywność. Jest on dostępny w formie tradycyjnego oprogramowania instalowanego na urządzeniu z dowolnym systemem operacyjnym, takim jak Mac OS X, iOS czy Android. Jednocześnie pod nazwą Office 365 udostępniany jest jako zestaw aplikacji online albo instalowanych na urządzeniu wraz z dodatkowymi usługami w chmurze, które w pełni wspierają mobilny styl pracy. Ponadto w ofercie spółki znajdują się również rozwiązania wspierające zarządzanie z rodziny Microsoft Dynamics. Microsoft wprowadził także na rynek pierwszy komputer sygnowany własnym logo – Microsoft Surface.

Microsoft jest liderem w zakresie rozwiązań dostarczanych w formie usług w modelu cloud computing i jako jedyny dostawca posiada kompleksową ofertę zarówno infrastruktury, platformy programistycznej oraz aplikacji w chmurze obliczeniowej. Całe środowisko tworzy spójną platformę Cloud OS, działającą w oparciu o m.in. Microsoft Azure.

Rozwiązania chmurowe oferowane przez Microsoft mogą być dostarczane klientom w modelu chmury publicznej, ale również chmury prywatnej oraz hybrydowej, która jest połączeniem obu modeli dostosowanych do potrzeb klienta.

Microsoft Corporation powstał w 1975 roku w USA, a polski oddział firmy istnieje od 1992 r. W swoich filiach na całym świecie Microsoft zatrudnia blisko 100 tys. specjalistów z różnych dziedzin, w tym około 350 osób w Polsce.