Z badania „Globalny stan bezpieczeństwa informacji 2011” (The 2011 Global State of Information Security Study®), wynika, że poziom nakładów na bezpieczeństwo nadal dyktowany jest przede wszystkim warunkami makroekonomicznymi, na co wskazuje 49% ankietowanych. Jednocześnie ponad połowa uczestniczących w ankiecie (52%) uważa, że ich firmy zwiększą wydatki na bezpieczeństwo w przyszłym roku.
Badanie „Globalny stan bezpieczeństwa informacji 2011” prowadzone jest przez PwC (wcześniej PricewaterhouseCoopers) we współpracy z magazynami CIO i CSO. W tegorocznej, ósmej już edycji udział wzięło ponad 12 800 managerów ze 135 krajów.
Czterdzieści siedem procent respondentów w badaniu odpowiedziało, że ich organizacja zredukowała w ostatnim czasie inwestycje związane z bezpieczeństwem, a 46% wskazało, że zmniejszeniu uległy również wydatki operacyjne. Odpowiedzialni za bezpieczeństwo informacji uważają, że redukcja wydatków na bezpieczeństwo poskutkowała w ich organizacjach stagnacją lub wręcz regresem w niektórych fundamentalnych obszarach, takich jak np. podstawowa weryfikacja życiorysu pracowników czy stosowanie specjalistycznych narzędzi do monitorowania bezpieczeństwa.
Głównymi czynnikami kształtującymi obecnie poziom finansowania bezpieczeństwa informacji są (wg liczby wskazań przez respondentów):
- warunki ekonomiczne (49% odpowiedzi respondentów),
- potrzeba zapewnienia ciągłości procesów i procedury awaryjne (40%),
- troska o reputację firmy (35%),
- potrzeba zapewnienia zgodności z wewnętrznymi regulacjami (34%),
- stosowane wymogi prawne (33%).
Jak pokazuje badanie, w ciągu ostatnich kilku lat większość czynników tradycyjnie wskazywanych jako uzasadnienie wydatków na bezpieczeństwo informacji (jak np. wymagania prawne/regulacyjne, możliwa odpowiedzialność prawna, redukcja ryzyka, możliwy wpływ na przychody czy fachowa ocena i normalna praktyka biznesowa) traci coraz bardziej na znaczeniu – jedynym wyjątkiem, notującym poważny wzrost, są w tym roku „wymagania klienta”. Czynnik ten awansował z końca listy w 2007 r. do poziomu niemal równorzędnego z utrzymującymi najwyższe pozycje czynnikami prawno-regulacyjnymi. Badanie ukazuje również ewolucję ścieżki raportowania CISO, który wcześniej częściej odpowiadał służbowo przed CIO, podczas gdy teraz coraz częściej w strukturze firmy umiejscowiony jest bliżej kierownictwa najwyższego szczebla.
– Zmiana ta jest odbiciem ewolucji, jaką od pewnego czasu przechodzą jednostki organizacyjne zajmujące się bezpieczeństwem informacji w firmach. Obserwujemy, że dokonuje się ścisła integracja tych funkcji z biznesem, wzrasta również strategiczne znaczenie bezpieczeństwa informacji – podkreśla Jeremi Gryka, wicedyrektor w zespole ds. systemów i kontroli wewnętrznej PwC.
W tegorocznym badaniu wielu managerów wskazało, że ich partnerzy biznesowi (52%) oraz dostawcy (50%) odczuli konsekwencje zmiany koniunktury gospodarczej (w 2009 r. było to odpowiednio 43% i 42%).
– Skoro outsourcing i offshoring stały się normalnym elementem sposobu działania wielu organizacji, jest w pełni zrozumiałe, że coraz więcej firm niepokoi się pogorszeniem kondycji swoich partnerów biznesowych i dostawców. Ryzyko osłabienia kontroli w zakresie bezpieczeństwa informacji oraz zmniejszenia poziomu zabezpieczeń u partnerów i dostawców może mieć bowiem bezpośrednie przełożenie na biznes organizacji – tłumaczy Jeremi Gryka. Obawy dotyczące poziomu zabezpieczeń mogą być szczególnie odczuwalne na polskim rynku, gdzie stosunkowo rzadko stosowane są efektywne rozwiązania, zapewniające odbiorcom usług odpowiedni poziom wiedzy i komfortu na temat zabezpieczeń u dostawców.
Wyniki badania pokazują również, że wiele firm sięga po dodatkowe narzędzie – ubezpieczenie – aby chronić się przed skutkami kradzieży oraz nadużyciami aktywów takich jak informacje wrażliwe czy dane o klientach. Czterdzieści sześć procent ankietowanych odpowiedziało, że ich firmy posiadają stosowną polisę ubezpieczeniową. Dodatkowo, 17% zadeklarowało, że ich organizacje zgłosiły szkody, a 13% otrzymało odszkodowanie.
Badanie „Globalny stan bezpieczeństwa informacji 2011” ujawniło, że wiele firm nie jest przygotowanych na ryzyka wynikające z użytkowania portali społecznościowych, blogów, portali wiki i innych aplikacji Web 2.0, w tym utratę lub wyciek informacji, utratę reputacji, nielegalne pobieranie pirackich materiałów czy kradzież tożsamości. Sześćdziesiąt procent respondentów odpowiedziało, że ich organizacja nie wdrożyła jeszcze zabezpieczeń wspierających komunikację Web 2.0, a 77%, że nie stworzyła nawet żadnych polityk bezpieczeństwa odnoszących się do użycia tych technologii.
W celu uzyskania dalszych informacji na temat badania oraz poznania najważniejszych wniosków w poszczególnych sektorach i regionach, zapraszamy na stronę.
Źródło: PwC
