Światowe Badanie Bezpieczeństwa Informacji 2004

Dane demograficzne Od czasu pierwszego badania przeanalizowaliśmy wiele wymiarów bezpieczeństwa informacji, które są rozważane przez światowe organizacje W rezultacie, nasze badanie ma jedną z najdłuższych historii, jeżeli chodzi o badania bezpieczeństwa informacji o zasięgu globalnym. Siódme Światowe Badanie dotyczące Bezpieczeństwa Informacji przeprowadzone przez firmę Ernst & Young. Po raz drugi w Polsce. W trwającym 3 miesiące Badaniu wzięło udział 1.225 przedsiębiorstw, w tym 44 z Polski. Przedsiębiorstwa biorące udział w Badaniu reprezentowały 49 branż z 51 krajów 20% respondentów stanowiły osoby zarządzające informacją (Chief Information Officer) 20% respondentów stanowiły osoby odpowiedzialne za bezpieczeństwo lub bezpieczeństwo informacji (Chief Security Officer, Chief Information Security Officer)

Aby przetrwać organizacja musi mieć wiedzę wystarczającą aby umieć dostosować się do zmieniającego się otoczenia Wyniki naszego badania wskazują, że w wielu przypadkach organizacje nie znają ani siebie ani przeciwnika, czego konsekwencją może być krótkowzroczne podejście do wzrastającej liczby i różnorodności zagrożeń Wyniki tegorocznego badania nie są rewolucyjne, przedsiębiorstwa wciąż bardziej polegają na szczęściu niż na sprawdzonych mechanizmach kontrolnych w zakresie bezpieczeństwa informacji Najbardziej zadziwiającym jest fakt, w jak niewielkim stopniu postawy, praktyki i działania zmieniły się od roku 1993 – podczas gdy od tego czasu znacząco wzrosła liczba zagrożeń Sposób podejścia do zagadnienia bezpieczeństwa informacji w wielu organizacjach nie uległ zasadniczej zmianie Na podstawie wyników z 2004 roku widzimy, że duża część organizacji, dopóki nie doświadczy istotnego naruszenia bezpieczeństwa, nie traktuje poważnie spraw związanych z bezpieczeństwem informacji Obecne zagrożenia są o wiele poważniejsze niż w 1993 roku Poważniejszymi zagrożeniami są świadome, szkodliwe działania wewnątrz organizacji, niedopatrzenia pracowników oraz powszechnie akceptowana kultura przedsiębiorstwa, dopuszczająca naruszanie istniejących polityk i procedur Ponieważ tego rodzaju wewnętrzne incydenty są ukrywane lub zatajane, firmy nie zdają sobie sprawy, że padają ich ofiarą „Poznaj wroga i poznaj siebie – nie będziesz musiał martwić się o wyniki setek bitew. Jeżeli nie znasz przeciwnika, ale znasz siebie, szansa na zwycięstwo jest równa szansie na przegraną. Jeśli nie znasz ani siebie ani swojego przeciwnika bądź pewny przegranej w każdej bitwie.” Sun Tzu „Sztuka Wojny” 孙 子 兵 法

Główne spostrzeżenie: Poznaj Siebie 80% respondentów nie przeprowadza regularnej oceny zgodności działalności swoich outsourcerów z wymaganiami regulacyjnymi dotyczącymi bezpieczeństwa informacji w organizacji (Polska – 83%) 70% respondentów nie przeprowadza regularnej oceny zgodności działalności swoich outsourcerów z wymaganiami wynikającymi z ich własnej polityki bezpieczeństwa informacji (Polska – 81%) Kierownictwo niechętnie przypisuje odpowiednie znaczenie kapitałowi ludzkiemu, znacznie chętniej przeznaczając środki na inwestycje w rozwiązania techniczne Mniej niż połowa uczestników badania zapewnia swoim pracownikom systematyczne szkolenia z zakresu bezpieczeństwa i mechanizmów kontrolnych (Polska – 43%)

Główne spostrzeżenie: Poznaj Przeciwnika Niewłaściwe postępowanie pracowników jest wymieniane jako drugie najistotniejsze zagrożenie po „wirusach, koniach trojańskich i robakach internetowych” (w Polsce jako pierwsze) Zaledwie niespełna 20% respondentów postrzega bezpieczeństwo informacji jako kwestię priorytetową na poziomie kierownictwa najwyższego szczebla (Polska – 19%) W przypadku blisko 70% respondentów zarząd nie otrzymuje kwartalnych raportów, dotyczących stanu bezpieczeństwa informacji w organizacji (Polska – 82%)

Stanowisko kierownika bezpieczeństwa informacji Odsetek ankietowanych organizacji, w których istnieje stanowisko kierownika bezpieczeństwa informacji (CISO)

Znaczenie bezpieczeństwa informacji Porównując tegoroczne wyniki z wynikami z lat poprzednich zauważyliśmy, że nadal wiele przedsiębiorstw traktuje tematykę bezpieczeństwa informacji w sposób obojętny. Wystarczy tylko sprawdzić jak często respondenci składają zarządowi raporty o stanie bezpieczeństwa informacji oraz wykrytych incydentach. Organizacje zwykle nie poświęcają zagadnieniu bezpieczeństwa informacji wystarczająco dużo czasu. Organizacje muszą posiadać jasną wizję co do zasobów, które zamierzają chronić oraz zagrożeń, które mogą na nie oddziaływać. Doświadczenie pokazuje, że jeśli kierownictwo firmy potrafi, chociaż częściowo, rozpoznać i zrozumieć zagrożenia, to może się przed nimi dużo łatwiej bronić Jak ważne jest, Państwa zdaniem, bezpieczeństwo informacji dla realizowania podstawowych celów organizacji? Bardzo ważne Dość ważne Ani ważne ani nieważne W ogóle nieważne Europa 2004 58% 33% 7% 2% Europa 2003 50% 37% 5% Polska 2004 75% 25% 0% Polska 2003 78% 22%

Wymiar ludzki Priorytety w bezpieczeństwie informacji w 2004 Priorytety w działaniach. Na podstawie wyników rankingu 16 działań podejmowanych w zakresie bezp inf. Można było wskazywać kilka odpowiedzi. Zaledwie połowa uczestników badania rozpoczęła prace w kierunku rozwoju programu szkoleń i budowania świadomości – fundamentalnego elementu tworzenia skutecznej strategii bezpieczeństwa informacji Wprowadzenie polityki bezpieczeństwa informacji Podnoszenie poziomu świadomości pracowników / szkolenia Poprawa ochrony prywatności / poufności danych CEO/COO/CFO 1 6 10 CIO/CTO/ Kierownik IT 2 8 9 CISO/CSO/ Kierownik IS

Zagrożenia bezpieczeństwa Najistotniejsze zagrożenia dla bezpieczeństwa informacji w Państwa organizacji w perspektywie następnych 12 miesięcy 4 7 3 1 2 Polska Europa Zagrożenia 5 Rozproszony atak DoS (DDoS) Wyniki badania 2004 Masowe przesyłanie wiadomości o treści komercyjnej (SPAM) Utrata prywatnych / poufnych informacji o klientach Działania pracowników dotyczące systemów informatycznych Szkodliwe programy (wirusy, robaki, konie trojańskie) W porównaniu do 2003: Wzrost Spadek Bez zmian Nowość

Zagrożenia bezpieczeństwa Najczęstsze zdarzenia, które doprowadziły do przerwania działania systemów informatycznych Wyniki badania 2004 Zdarzenia Europa Polska Szkodliwe programy (wirusy, robaki) 1 Awaria infrastruktury 2 Awaria siecii telekomunikacyjnej 3 4 Awaria oprogramowania Nieodpowiednia wydajność systemu 5 6 Działania byłych lub obecnych pracowników 9 13 W porównaniu do 2003: Wzrost Spadek Bez zmian Nowość

Ocena podatności oraz testy penetracyjne Odsetek twierdzących, że w ich organizacji dokonuje się regularnej oceny podatności oraz przeprowadza się testy penetracyjne

Skuteczność wymagań prawnych Badacze uważają, że przyczyną niskiego poziomu bezpieczeństwa informacji jest rozproszenie odpowiedzialności jednostka predestynowana do ograniczenia ryzyka nie robi tego, ponieważ nie ma jednoznacznie określonej odpowiedzialności za podjęcie lub niepodjęcie odpowiednich działań Organizacje często trudno przekonać, że warto inwestować w poprawę bezpieczeństwa informacji, choć trudno zauważyć wartość tych działań, a zyski widoczne są dopiero z perspektywy wydarzeń, do których nie doszło Organy państwowe stworzyły rozwiązania prawne, mające na celu poprawę dostrzeżonych niedoskonałości rynku. Działania te mają wzmocnić motywację przedsiębiorstw, które planując swoje wydatki inwestycyjne muszą uwzględnić społeczne cele

Budżety i inicjatywy Nasze badanie potwierdza, że pozostanie w zgodzie z regulacjami prawnymi wymusiło poświęcenie więcej energii i zasobów w tym zakresie. Spodziewamy się dalszego wzrostu nakładów w tym obszarze. W podsumowaniu badania z roku 2003 znalazł się wniosek, że zbyt dużo pieniędzy wydaje się na narzędzia i rozwiązanie techniczne, a zbyt mało na organizację i ludzi. Tegoroczne wyniki potwierdzają prawdziwość tego spostrzeżenia. Organizacje mogą odkryć nowe sposoby ograniczenia wydatków poprzez przeznaczenie części z nich na rozwój personelu oraz optymalizację rozwiązań organizacyjnych Jak zmieni się budżet Państwa organizacji przeznaczony na bezpieczeństwo informacji w roku 2005 w porównaniu z budżetem na rok 2004?

Główne przeszkody w osiągnięciu skutecznego bezpieczeństwa informacji Wyniki badania 1994 1. Brak zasobów ludzkich 2. Ograniczenia budżetowe 3. Brak świadomości zarządu 4. Narzędzia i rozwiązania Wyniki badania 2003 Przeszkody Polska Europa Ograniczenia budżetowe 1 Priorytety w dostępie do zasobów 2 Brak zaangażowania zarządu 3 Brak świadomości zarządu 4 Dostępność wykwalifikowanego personelu 5 Wyniki badania 2004 Przeszkody Europa Polska Brak świadomości zagrożeń wśród użytkowników 1 Ograniczenia budżetowe 2 Trudność wykazania znaczenia bezp. informacji 3 5 Brak czasu na przygo-towanie długookreso-wych planów/rozwiązań 4 6 Dostępność wykwalifikowanego personelu 9 W porównaniu do 2003 Wzrost Spadek Bez zmian Nowość

Ciągłość działania Proszę wskazać czy Twoja organizacja posiada plan zapewnienia ciągłości działalności i czy został on przetestowany w ciągu ostatnich 12 miesięcy

E Q Tomasz Bejm Radosław Tubisz Partner Dział Zarządzania Ryzykiem Informatycznym tel: 022 557 63 48 e-mail: tomasz.bejm@pl.ey.com Radosław Tubisz Senior tel: 022 557 63 52 e-mail: radoslaw.tubisz@pl.ey.com E Q

! @ #