Παγκόσμια έρευνα State of Information Security® Survey της PwC και των εξειδικευμένων περιοδικών πληροφορικής CIO και CSO

Παγκόσμια έρευνα State of Information Security® Survey της PwC και των εξειδικευμένων περιοδικών πληροφορικής CIO και CSO

Αν και καταγράφεται πρόοδος στα προγράμματα ασφάλειας των πληροφοριών, λίγοι οργανισμοί είναι προετοιμασμένοι για το τι θα φέρει το αύριο

Η αντιμετώπιση των μελλοντικών προκλήσεων προϋποθέτει νέα και συνεχώς εξελισσόμενα μοντέλα ασφάλειας των πληροφοριών

Σύμφωνα με την παγκόσμια έρευνα State of Information Security® Survey της PwC και των εξειδικευμένων περιοδικών πληροφορικής CIO και CSO, τα εκτελεστικά στελέχη έχουν αυξήσει τις δαπάνες τους σε ό,τι αφορά την ασφάλεια της πληροφορικής και έχουν βελτιώσει ουσιαστικά τους τεχνολογικούς μηχανισμούς, τις διεργασίες και τις στρατηγικές τους. Ωστόσο,  οι ανταγωνιστές τους εξακολουθούν να βρίσκονται ένα βήμα μπροστά.

«Τα αποτελέσματα της έρευνάς μας, αποκαλύπτουν ότι ενώ σήμερα παρατηρούνται βελτιώσεις σε θέματα ασφάλειας της πληροφορικής των εταιρειών, γεγονός που αποτελεί θετική εξέλιξη,  πολλοί οργανισμοί υστερούν σε σχέση με τους αντιπάλους τους στη σχετική τεχνολογία, γεγονός που προμηνύει σημαντικά προβλήματα για το μέλλον», δήλωσε ο Mark Lobel, ανώτερο στέλεχος της PwC στον κλάδο συμβουλευτικών υπηρεσιών με εξειδίκευση σε θέματα κυβερνοασφάλειας. «Είναι απαραίτητο τα εκτελεστικά στελέχη να προβαίνουν σε μια συνεχή και σε βάθος επαναξιολόγηση και αναθεώρηση των στρατηγικών και πρακτικών τους, ώστε να είναι σε θέση να αντεπεξέλθουν στις σημερινές απειλές. Χωρίς μια ευέλικτη προσέγγιση σε θέματα ασφάλειας των πληροφοριών, οι οργανισμοί δεν θα είναι κατάλληλα προετοιμασμένοι για τις ολοένα και πιο εξελιγμένες και στοχευμένες επιθέσεις που ενδέχεται να είναι πιο περίπλοκες και επιζήμιες σε σχέση με το παρελθόν».

Σύμφωνα με την παγκόσμια αυτή έρευνα, στην οποία συμμετείχαν περισσότερα από 9,600 εκτελεστικά στελέχη, ο αριθμός των περιστατικών ασφαλείας που εντοπίστηκαν τους τελευταίους 12 μήνες αυξήθηκε κατά 25%. Περαιτέρω, ο αριθμός των συμμετεχόντων που δεν γνωρίζουν πόσα περιστατικά έλαβαν χώρα έχει διπλασιαστεί τα δύο τελευταία χρόνια.

«Αν λάβουμε υπόψη τις αυξανόμενες απειλές, οι οργανισμοί θα πρέπει να θέσουν σε εφαρμογή νέες τεχνολογίες οι οποίες θα τους δώσουν τη δυνατότητα για συνεχή παρακολούθηση του δικτύου, των εφαρμογών και των δεδομένων τους, για τον εντοπισμό ύποπτης ή ασυνήθους δραστηριότητας η οποία ενδέχεται να υποδεικνύει ότι ένα συμβάν ασφαλείας βρίσκεται σε εξέλιξη», δήλωσε ο Bob Bragdon, εκδότης του CSO.

Τα έξυπνα κινητά, τα tablets, η τάση ΒΥΟD (Bring Your Own Device), όπου ο καθένας χρησιμοποιεί τη δική του προσωπική συσκευή, καθώς και η διάδoση του cloud computing δημιουργούν αυξημένους κινδύνους για την ασφάλεια των πληροφοριών. Ωστόσο, οι προσπάθειες για εφαρμογή προγραμμάτων ασφάλειας στις κινητές συσκευές κατά τον τελευταίο χρόνο δεν συμβαδίζουν με την αυξανόμενη χρήση τους.

Ενώ το 47% των συμμετεχόντων χρησιμοποιεί το cloud computing – εκ των οποίων το 59% δηλώνει ότι η ασφάλεια των πληροφοριών έχει βελτιωθεί – ποσοστό μόλις 18% περιλαμβάνει σχετικές πρόνοιες στην πολιτική ασφαλείας τους. Η έρευνα διαπιστώνει ότι ενώ οι πλείστοι συμμετέχοντες έχουν εφαρμόσει παραδοσιακά συστήματα ασφάλειας (όπως εικονικά ιδιωτικά δίκτυα (VPN), τείχη προστασίας (firewalls) και κρυπτογράφηση υπολογιστών), είναι λιγότερο πιθανό να έχουν στη διάθεσή τους εργαλεία παρακολούθησης δεδομένων και δικτύων που τους παρέχουν πληροφορίες σε πραγματικό χρόνο για τους κινδύνους του σήμερα.

Στην εποχή μας, είναι εξαιρετικά σημαντικό για τους οργανισμούς να αναθεωρήσουν τη στρατηγική ασφαλείας της πληροφορικής, έτσι ώστε να αποτελεί ζήτημα προτεραιότητας για την ανώτερη διεύθυνση και να ανταποκρίνεται στις επιχειρηματικές ανάγκες και στρατηγικές . Ωστόσο, η έρευνα αποκαλύπτει ότι οι πλείστοι συμμετέχοντες δεν το έχουν πράξει. Η συνεργασία με εξειδικευμένους συμβούλους για βελτίωση της ασφάλειας καθίσταται σήμερα ένας βασικός τρόπος απόκτησης γνώσεων για τις δυναμικές απειλές και τα τρωτά σημεία, ωστόσο μόλις 50% των συμμετεχόντων δηλώνει ότι διατηρούν τέτοιες συνεργασίες.

«Ένα ολοκληρωμένο σύστημα ασφάλειας της πληροφορικής πρέπει να διαδραματίζει κεντρικό ρόλο στην επιχειρηματική ατζέντα και στην οργανωτική κουλτούρα του οργανισμού, ενώ ο κάθε εργαζόμενος, προμηθευτής και συνεργάτης οφείλει να κατανοεί και να ακολουθεί την πολιτική ασφαλείας του οργανισμού», δήλωσε ο David Burg, Επικεφαλής Εργασιών Κυβερνοασφαλείας της PwC παγκοσμίως και στις ΗΠΑ. «Η δημιουργία και διατήρηση μιας κουλτούρας ευαισθητοποίησης σε θέματα ασφάλειας της πληροφορικής απαιτεί ταυτόχρονα και την πλήρη στήριξη της ανώτερης διεύθυνσης, συμπεριλαμβανομένου του διευθύνοντος συμβούλου και των μελών του διοικητικού συμβουλίου. Η εμπλοκή τους είναι απαραίτητη.»

Οι συμμετέχοντες στην έρευνα δηλώνουν ότι τα τρία κυριότερα εμπόδια για τη βελτίωση της ασφάλειας είναι: η ανεπαρκής χρηματοδότηση, η έλλειψη οράματος για το πώς οι μελλοντικές επιχειρηματικές ανάγκες θα επηρεάσουν την ασφάλεια και η απουσία ηγετικού ρόλου από πλευράς του διευθύνοντος συμβούλου και του διοικητικού συμβουλίου.

«Δεν μπορείς να αντεπεξέλθεις στις απειλές του σήμερα με στρατηγικές του χθες», δήλωσε ο Gary Loveland, ανώτερο στέλεχος της PwC στον κλάδο συμβουλευτικών υπηρεσιών με εξειδίκευση σε θέματα κυβερνοασφάλειας. «Αυτό που χρειάζεται είναι ένα καινούριο μοντέλο ασφάλειας της πληροφορικής, το οποίο θα βασίζεται στη γνώση των απειλών, των στοιχείων, καθώς και των κινήτρων και στόχων των πιθανών αντιπάλων.»

Οι πλείστοι συμμετέχοντες αναφέρουν ότι πίσω από τα περιστατικά ασφαλείας βρίσκονται άτομα εντός του οργανισμού, κυρίως σημερινοί ή πρώην εργαζόμενοι. Κι ενώ οι περισσότεροι πιστεύουν ότι οι κυβερνήσεις είναι αυτές που δημιουργούν τις περισσότερες απειλές, μόνο το 4% των συμμετεχόντων κάνει σχετική αναφορά, ενώ το 32% υποδεικνύει τους χάκερς (άτομα που αποκτούν μη εξουσιοδοτημένη πρόσβαση σε έναν υπολογιστή ή δίκτυο για να κλέψουν πληροφορίες ή να προκαλέσουν ζημιά) ως πηγή εξωτερικών περιστατικών ασφαλείας.

Για να μελετήσετε τα πορίσματα της έρευνας επισκεφθείτε την ιστοσελίδα www.pwc.com.cy/technology-consulting (under «Our Publications» section) or www.pwc.com/gsiss2014.