Ernst & Young: Θεμελιώδες ζήτημα η ασφάλεια των πληροφοριών

Επιτακτική καθίσταται πλέον η ανάγκη οι επιχειρήσεις να αλλάξουν ριζικά την προσέγγισή τους στα θέματα ασφάλειας των πληροφοριών, προκειμένου να αντιμετωπίσουν τις απειλές, που παρουσιάζονται από τις υφιστάμενες και τις αναδυόμενες τεχνολογίες.

Αυτό προκύπτει, μεταξύ άλλων, από την έκθεση Global Information Security Survey 2012 της Ernst & Young, σύμφωνα με την οποία, το 63% των επιχειρήσεων δεν έχει αναπτύξει και δεν έχει εφαρμόσει ένα ολοκληρωμένο και συνεκτικό πλαίσιο ασφάλειας πληροφοριών, παρόλο που τα τρία τέταρτα των επιχειρήσεων αναφέρουν αύξηση των εξωτερικών επιθέσεων.

Σύμφωνα με την Ernst & Young, οι επιχειρήσεις εφαρμόζουν σταδιακές βελτιώσεις στα συστήματα ασφάλειας των πληροφοριών τους, προκειμένου να δώσουν βραχυπρόθεσμες λύσεις, χωρίς, ωστόσο να αντιμετωπίζουν τα ζητήματα, που αφορούν στη γενικότερη απειλή για την ασφάλεια των πληροφοριών. Με το 31% των ερωτηθέντων να διαπιστώνει αύξηση του αριθμού των περιστατικών ελλιπούς ασφάλειας, τα τελευταία δύο χρόνια, η ανάγκη για προώθηση ενός ισχυρού πλαισίου αρχιτεκτονικής ασφάλειας είναι μεγαλύτερη από ποτέ. Ωστόσο, το 63% των επιχειρήσεων δεν διαθέτει τέτοιο πλαίσιο, ενώ μόνο το 16% των ερωτηθέντων αναφέρει ότι οι λειτουργίες ασφάλειας των πληροφοριών τους καλύπτουν πλήρως τις ανάγκες της επιχείρησής τους.

Οι επιχειρήσεις, όπως επισημαίνεται στην έκθεση της Ernst & Young, αναγνωρίζουν ότι το περιβάλλον της ασφάλειας πληροφοριών μεταβάλλεται με ραγδαίους ρυθμούς, καθώς η συχνότητα των απειλών κατά της ασφάλειας πληροφοριών αυξάνεται, η φύση τους αλλάζει και ο αριθμός των περιστατικών ελλιπούς ασφάλειας μεγαλώνει.

Πάνω από τα τρία τέταρτα (77%) των ερωτηθέντων συμφωνούν ότι υπάρχει ένας αυξανόμενος κίνδυνος από εξωτερικές επιθέσεις, αλλά αυτή δεν είναι η μόνη πηγή ανησυχίας για τις διεθνείς εταιρίες, καθώς το 46% αναφέρει ότι οι εσωτερικές αδυναμίες, επίσης, αυξάνονται.

Οι νέες τεχνολογίες δημιουργούν τεράστιες ευκαιρίες για τις επιχειρήσεις, αλλά συγχρόνως και πιθανές απειλές από μέχρι τώρα άγνωστες πηγές.

Το cloud computing, συνεχίζει να είναι μία από τις βασικές κινητήριες δυνάμεις της αλλαγής του επιχειρηματικού μοντέλου, με τον αριθμό των επιχειρήσεων, που το χρησιμοποιούν, να έχει σχεδόν διπλασιασθεί, τα τελευταία δύο χρόνια.

Ωστόσο, το 38% των επιχειρήσεων δεν έχει λάβει μέτρα για τον περιορισμό των κινδύνων, όπως, για παράδειγμα, ισχυρότερη επιτήρηση της διαδικασίας διαχείρισης των συμβάσεων για τους παρόχους cloud computing ή χρήση τεχνικών κρυπτογράφησης.

Μία άλλη σημαντική νέα τεχνολογία είναι οι φορητές συσκευές, που βασίζονται στο internet (internet-enabled mobile devices), των οποίων η χρήση έχει εξαπλωθεί σημαντικά, εξαιτίας της τεχνολογικής τους εξέλιξης και των πλεονεκτημάτων, που δημιουργούν για τις επιχειρήσεις.

Σύμφωνα με την έκθεση, καθώς το ποσοστό των επιχειρήσεων, που επιτρέπει τη χρήση εταιρικών ή ιδιόκτητων tablets, έχει φθάσει το 44% από 20%, το 2011, σημαντικός όγκος πληροφοριών διακινείται από και προς το γραφείο, καθιστώντας τον έλεγχο όλο και πιο δύσκολο.

Οι επιχειρήσεις αναγνωρίζουν ότι πρέπει να κάνουν περισσότερα για την τεχνολογία κινητής τηλεφωνίας. Ωστόσο, στην ταχέως μεταβαλλόμενη αγορά του mobile computing, η υιοθέτηση τεχνικών και λογισμικού ασφαλείας εξακολουθεί να είναι σχετικά περιορισμένη, με μόλις το 40% των επιχειρήσεων να χρησιμοποιεί κάποιας μορφής τεχνική κρυπτογράφησης για τις κινητές συσκευές.

Καθώς οι επιχειρήσεις βρίσκονται αντιμέτωπες με περισσότερες απειλές και περισσότερη τεχνολογία, αντιδρούν, αυξάνοντας τους προϋπολογισμούς τους και προσαρμόζοντας τις προτεραιότητες τους.

Το 51% των επιχειρήσεων ανέφερε ότι σχεδιάζει να αυξήσει τους προϋπολογισμούς του για περισσότερο από 5%, κατά τους επόμενους 12 μήνες, ενώ ήδη το 32% των ερωτηθέντων ξοδεύει πάνω από ένα εκατ. δολάρια για την ασφάλεια των πληροφοριών.

Σημειώνεται ότι το επίπεδο των επενδύσεων στον τομέα της ασφάλειας πληροφοριών κυμαίνεται, σε παγκόσμιο επίπεδο, στο 48%, με τις αμερικανικές επιχειρήσεις να διαθέτουν πάνω από ένα εκατ. δολάρια, σε σύγκριση με το ποσοστό του 35% και 26%, που ισχύει, αντίστοιχα, στις περιοχές Ασίας-Ειρηνικού και ΕΜΕΙΑ (Ευρώπη, Μέση Ανατολή, Ινδία και Αφρική).

Όσον αφορά στους τομείς προτεραιότητας των επενδύσεων, το 55% των ερωτηθέντων αναφέρει ότι επιδιώκει την εξασφάλιση νέων τεχνολογιών και το 47% την εξασφάλιση της συνεχούς επιχειρηματικής δραστηριότητας.

«Οι αυξήσεις στους προϋπολογισμούς, που σχεδιάζονται, θα είναι αποτελεσματικές, μόνο αν η ευθύνη ανατεθεί στα κατάλληλα κέντρα αποφάσεων» επισημαίνεται στην έκθεση.

Σε πολλές επιχειρήσεις, η πρωτοβουλία για την ασφάλεια των πληροφοριών εξακολουθεί να ανήκει στο τμήμα πληροφορικής (IT). Το 63% των ερωτηθέντων αναφέρει ότι οι επιχειρήσεις τους έχουν αναθέσει την ευθύνη για την ασφάλεια των πληροφοριών στα χέρια του τμήματος πληροφορικής.

Καθώς η ασφάλεια των πληροφοριακών συστημάτων ξεφεύγει των παραδοσιακών θεμάτων πληροφορικής, χρειάζονται αποφάσεις για την επιλογή των κατάλληλων εργαλείων, διαδικασιών και μεθόδων παρακολούθησης των απειλών, τη μέτρηση της απόδοσης και τον εντοπισμό των κενών. Κατά συνέπεια, απαιτείται μία επαναξιολόγηση των αρμοδιοτήτων.

Με το ποσοστό του 5% των υπευθύνων διαχείρισης κινδύνων να έχουν σήμερα στις αρμοδιότητές τους την ασφάλεια των πληροφοριών, πολλές επιχειρήσεις δεν διαθέτουν τους θεσμοθετημένους μηχανισμούς αξιολόγησης κινδύνου, με αποτέλεσμα το 52% των επιχειρήσεων να μην διαθέτει πρόγραμμα πληροφοριών για τους κινδύνους/απειλές. Ο πολλαπλασιασμός των απειλών απαιτεί πολλαπλές πηγές αξιολόγησης για την παρακολούθηση και εκτίμηση των περιστατικών ασφαλείας, όπως εσωτερικός έλεγχος, εσωτερική αυτοαξιολόγηση και αξιολογήσεις τρίτων.