Aż 83 proc. uczestników badania „Security Trends. Bezpieczeństwo w cyfrowej erze” przeprowadzonego przez Microsoft oraz EY[1], przyznało, że wiedza działów biznesowych na temat cyberzagrożeń wyraźnie wzrosła w ciągu ostatniego roku. Oceniają jednak, że wobec skali tych zjawisk nadal jest ona na niewystarczającym poziomie. Uczestnikami badania byli przedstawiciele zarządów odpowiedzialni za obszar bezpieczeństwa oraz informatyki (CSO, CIO, CTO[2]), reprezentujący sektor dużych i średnich przedsiębiorstw oraz instytucji publicznych. Wskazali oni również, że kluczowe wyzwania w kontekście bezpieczeństwa informatycznego to przede wszystkim obawa przed wyciekiem danych (69 proc. ankietowanych), niefrasobliwość użytkowników (67 proc.) oraz złośliwe oprogramowanie (ang. malware), które wymieniło 67 proc. osób.
Kluczowe wnioski z badania:
- 81 proc. CSO podkreśla konieczność edukacji użytkowników w zakresie cyberzagrożeń oraz odpowiedniego wykorzystania technologii w celu lepszej ochrony.
- 50 proc. uczestników badania opowiada się za zintensyfikowaniem regularnej wymiany informacji o zagrożeniach i sposobach prewencji wewnątrz firmy a także bliższej współpracy z zarządem.
Ciągłość działania priorytetem dla organizacji
Według 70 proc. respondentów zapewnienie ciągłości działania systemów przedsiębiorstwa to priorytetowy obowiązek osób odpowiedzialnych za bezpieczeństwo w polskich firmach i instytucjach publicznych. Zależy ono nie tylko od realizowanych z zewnątrz ataków zagrażających bezpieczeństwu procesów w organizacji. Niezwykle istotną kwestią jest także bezpieczeństwo wewnętrzne – firmy muszą zapobiegać wydostawaniu się informacji z ich środowiska. Najlepszym rozwiązaniem w walce z tym zjawiskiem jest stosowanie bezpiecznych rozwiązań technologicznych, ale także odpowiednia edukacja użytkowników.
Kluczowe wyzwania w kontekście bezpieczeństwa informatycznego wskazane przez ankietowanych to przede wszystkim obawa przed wyciekiem danych (69 proc. ankietowanych), niefrasobliwość użytkowników (67 proc.) oraz złośliwe oprogramowanie (ang. malware), co podkreśliło 67 proc. osób. Wskazuje to zatem wyraźnie na konieczność edukacji pracowników oraz uszczelnienia procesów i zapewnienia należytego poziomu zabezpieczeń przed takimi zdarzeniami.
Narzędzia, ale i ludzie
Dla zapewnienia odpowiedniego poziomu bezpieczeństwa organizacji kluczowe znaczenie odgrywa infrastruktura i stosowane narzędzia wspomagające bezpieczeństwo. Nie można jednak zapomnieć, że równie istotna jest kwestia edukacji użytkowników w kontekście prawidłowego wykorzystania istniejących technologii podnoszących bezpieczeństwo. Wydaje się ona tym ważniejsza, że wśród czynników osłabiających odporność organizacji na zagrożenia, osoby biorące udział w badaniu najczęściej wskazywały właśnie użytkowników końcowych, którzy nie przestrzegają zasad bezpieczeństwa (81 proc.).
Brak wiedzy personelu na temat zagrożeń jest niewspółmierny z postępem technologicznym, który odbywa się na tym polu. Na kwestię niewystarczającej edukacji użytkowników wskazało aż 81 proc. pytanych. Wśród najczęściej wymienianych przewinień wskazują oni m.in. korzystanie z firmowych zasobów przy użyciu niebezpiecznego sprzętu, przekazywanie niezabezpieczonych danych między domeną prywatną, a firmową, czy wykorzystanie serwisów społecznościowych do służbowej komunikacji pomiędzy członkami zespołów. Zachowanie to wymusza prowadzenie regularnych działań edukacyjnych, co pozwoli uwrażliwić użytkowników na obszary, które mogą przyczynić się do powstawania krytycznych sytuacji i zaburzenia bezpieczeństwa działania przedsiębiorstwa.
„Organizacja powinna sprzyjać budowaniu wspólnej wiedzy, systemu wczesnego ostrzegania o zagrożeniach. Powinien powstać system wczesnego ostrzegania wspólny dla branży, kraju; są już takie inicjatywy na świecie i w Polsce” – mówi Adam Danieluk, Dyrektor Departamentu Bezpieczeństwa IT, Zgodności z wymaganiami i Poufności danych; Regional ISO Manager – Global Cyber Security and Fraud; First Data Poland, prezes ISSA Polska.
Współpraca wewnątrz organizacji kluczem do sukcesu
Połowa uczestników badania opowiedziała się za potrzebą intensyfikowania współpracy i zwiększania świadomości dotyczącej zagrożeń na poziomie zarządu przedsiębiorstwa. Stanowi to klucz do faktycznej poprawy poziomu bezpieczeństwa organizacji. Respondenci uważają, że czynnik ten, obok odpowiednio prowadzonej edukacji stanowi najważniejszy element na drodze do poprawy bezpieczeństwa. Już w przypadku 15% przedsiębiorstw temat bezpieczeństwa organizacji to kwestia regularnie poruszana na spotkaniach zarządów.
„Badanie potwierdza, że świadomość zarządu w zakresie bezpieczeństwa oraz jego wsparcie to kluczowe elementy w budowaniu skutecznego systemu zabezpieczeń. Wobec stopnia zaawansowania dzisiejszych cyberzagrożeń oraz zawrotnego tempa zmian w technologiach i wykorzystujących je procesach biznesowych, niewystarczające jest statyczne i reaktywne podejście do zapewniania bezpieczeństwa. Aby działać proaktywnie i dynamicznie dostosowywać zabezpieczenia do zmieniającego się otoczenia, kluczowa staje się efektywna komunikacja z biznesem. Niestety, nie jest to możliwe bez właściwego wsparcia ze strony zarządu oraz umiejscowienia bezpieczeństwa jako istotnego elementu strategii organizacji – zauważa Michał Kurek, dyrektor w Dziale Zarządzania Ryzykiem Informatycznym w EY.
Sojusz ludzi i technologii
Mimo, że 83 proc. ankietowanych CSO uważa, że wiedza działów biznesowych na temat cyberzagrożeń wyraźnie wzrosła w ciągu ostatniego roku, nadal jest ona na niewystarczającym poziomie. Połowa uczestników badania życzyłaby sobie intensyfikacji stałej i regularnej wymiany wiedzy na temat zagrożeń, a przede wszystkim sposobów radzenia sobie z nimi nie tylko wewnątrz organizacji, ale także w gronie przedstawicieli firm działających w tej samej lub pokrewnej branży. Zjawisko to jest najpopularniejsze wśród przedstawicieli branży finansowej (potwierdziło ten proces ponad 70 proc. badanych).
Sławomir Panasiuk, Wiceprezes Zarządu Krajowego Depozytu Papierów Wartościowych wskazuje na jeden z możliwych sposobów działania.
„W jaki sposób pracować nad uświadamianiem biznesu? Cyklicznie przeprowadzamy testy wiedzy o zasadach bezpieczeństwa wśród wszystkich pracowników na bazie intranetowego rozwiązania e-learning” – wyjaśnia Panasiuk.
Rozwiązaniem, które prowadzi do sukcesu najkrótszą drogą jest fuzja technologii i tzw. czynnika ludzkiego. Odpowiednio prowadzona strategia działań CSO musi zakładać posiadanie sojuszników w zarządach i działach biznesowych organizacji, z którymi powinni wspólnie działać na rzecz podniesienia świadomości samych użytkowników. Z drugiej strony procesy te powinny być wsparte technologią zabezpieczającą ciągłość działania organizacji i wykluczającą ryzyko wystąpienia cyberzagrożeń.
„Budowanie bezpieczeństwa organizacji to proces angażujący wiele obszarów przedsiębiorstwa. Ważne jest, aby zwiększanie świadomości całego zespołu przebiegało systematycznie i uwzględniało wszystkie poziomy organizacji – zarówno działy biznesowe, jak i zarząd. Odpowiednia strategia bezpieczeństwa musi zakładać podejście holistyczne, włączające zarówno pierwiastek technologiczny, jak i ludzki. Technologia bardzo często zawęża margines błędów, wynikający z działania człowieka. Fundament poprawy stanu rzeczy jest taki sam, bez względu na branżę której dotyczy” – mówi Dariusz Piotrowski, Dyrektor ds. Sprzedaży do Klientów Enterprise z polskiego oddziału Microsoft.
Raport „Security Trends. Bezpieczeństwo w erze cyfrowej” wskazuje na najważniejsze obszary dotyczące roli CSO w kształtowaniu procesów bezpieczeństwa wewnątrz organizacji. Badanie zostało przeprowadzone na grupie ponad stu członków zarządu odpowiedzialnych za zarządzanie obszarem informatyki, technologii i bezpieczeństwa, reprezentujących czołowe polskie przedsiębiorstwa sektora Enterprise oraz instytucje publiczne. Raport jest dostępny pod adresem www.securitytrends2015.pl
[1] Badania „Security Trends. Bezpieczeństwo w erze cyfrowej” było przeprowadzone wśród członków zarządu odpowiedzialnych za zarządzanie obszarem informatyki, technologii i bezpieczeństwa reprezentujących sektor dużych przedsiębiorstw i instytucji publicznych.
[2] CSO – Chief Security Officer.