Οι ad-hoc λύσεις ασφάλειας των πληροφοριών δεν αποτελούν πλέον επιλογή

Τα τρία τέταρτα των επιχειρήσεων αναφέρουν αύξηση των εξωτερικών επιθέσεων

Το 63% των επιχειρήσεων δεν έχουν αναπτύξει και εφαρμόσει ένα ολοκληρωμένο και συνεκτικό πλαίσιο ασφάλειας πληροφοριών

Αν και η χρήση του cloud computing έχει διπλασιασθεί από το 2010, το 38% των ερωτηθέντων αναφέρει μηδενικά μέτρα ασφαλείας για τον περιορισμό των κινδύνων

 

Οι επιχειρήσεις πρέπει να αλλάξουν ριζικά την προσέγγισή τους στα θέματα ασφάλειας των πληροφοριών, προκειμένου να αντιμετωπίσουν τις απειλές που παρουσιάζονται από τις υφιστάμενες και τις αναδυόμενες τεχνολογίες, σύμφωνα με την έκθεση Global Information Security Survey 2012 της Ernst & Young. Όμως, προκειμένου να δώσουν βραχυπρόθεσμες λύσεις, οι επιχειρήσεις εφαρμόζουν σταδιακές βελτιώσεις στα συστήματα ασφάλειας των πληροφοριών τους – χωρίς, ωστόσο να αντιμετωπίζουν τα ζητήματα που αφορούν στη γενικότερη απειλή για την ασφάλεια των πληροφοριών. Με το 31% των ερωτηθέντων να διαπιστώνει αύξηση του αριθμού των περιστατικών ελλιπούς ασφάλειας, τα τελευταία δύο χρόνια, η ανάγκη για προώθηση ενός ισχυρού πλαισίου αρχιτεκτονικής ασφάλειας είναι μεγαλύτερη από ποτέ. Ωστόσο, το 63% των επιχειρήσεων δεν διαθέτουν τέτοιο πλαίσιο ενώ μόνο το 16% των ερωτηθέντων αναφέρουν ότι οι λειτουργίες ασφάλειας των πληροφοριών τους καλύπτουν πλήρως τις ανάγκες της επιχείρησής τους.

Σχολιάζοντας τα στοιχεία της έρευνας, ο Paul van Kessel, επικεφαλής των υπηρεσιών Global IT Risk και Assurance της Ernst & Young λέει: «το νέο δεδομένο για τους CIO είναι ότι το «γρήγορο» δεν είναι πλέον «αρκετά γρήγορο». Η ταχύτητα και η πολυπλοκότητα των αλλαγών επέρχονται με καταιγιστικό ρυθμό, με τις αναδυόμενες αγορές, τη συνεχιζόμενη οικονομική αστάθεια, τη χρήση off shore υπηρεσιών και τις αυξανόμενες κανονιστικές απαιτήσεις να επαυξάνουν ένα ήδη περίπλοκο περιβάλλον ασφάλειας των πληροφοριών.»

Το επίπεδο των απειλών εξακολουθεί να αυξάνεται

Οι επιχειρήσεις αναγνωρίζουν ότι το περιβάλλον της ασφάλειας πληροφοριών μεταβάλλεται με ραγδαίους ρυθμούς, καθώς η συχνότητα των απειλών κατά της ασφάλειας πληροφοριών αυξάνεται, η φύση τους αλλάζει και ο αριθμός των περιστατικών ελλιπούς ασφάλειας μεγαλώνει. Πάνω από τα τρία τέταρτα (77%) των ερωτηθέντων συμφωνούν ότι υπάρχει ένας αυξανόμενος κίνδυνος από εξωτερικές επιθέσεις, αλλά αυτή δεν είναι η μόνη πηγή ανησυχίας για τις διεθνείς εταιρίες, καθώς το 46% αναφέρουν ότι οι εσωτερικές αδυναμίες επίσης αυξάνονται.

Η ασταμάτητη πορεία των νέων τεχνολογιών

Οι νέες τεχνολογίες δημιουργούν τεράστιες ευκαιρίες για τις επιχειρήσεις, αλλά συγχρόνως και πιθανές απειλές από, μέχρι τώρα, άγνωστες πηγές. Το cloud computing, συνεχίζει να είναι μια από τις βασικές κινητήριες δυνάμεις της αλλαγής του επιχειρηματικού μοντέλου, με τον αριθμό των επιχειρήσεων που το χρησιμοποιούν να έχει σχεδόν διπλασιασθεί τα τελευταία δύο χρόνια. Ωστόσο, το 38% των επιχειρήσεων δεν έχουν λάβει μέτρα για τον περιορισμό των κινδύνων, όπως, για παράδειγμα, ισχυρότερη επιτήρηση της διαδικασίας διαχείρισης των συμβάσεων για τους παρόχους cloud computing ή χρήση τεχνικών κρυπτογράφησης.

Μια άλλη σημαντική νέα τεχνολογία είναι οι φορητές συσκευές που βασίζονται στο internet (internet-enabled mobile devices), των οποίων η χρήση έχει εξαπλωθεί σημαντικά εξαιτίας της τεχνολογικής τους εξέλιξης και των πλεονεκτημάτων που δημιουργούν για τις επιχειρήσεις.

Ο Van Kessel σχολιάζει: «Καθώς το ποσοστό των επιχειρήσεων που επιτρέπει τη χρήση εταιρικών ή ιδιόκτητων tablets έχει φθάσει το 44% από 20% το 2011, σημαντικός όγκος πληροφοριών διακινείται από και προς το γραφείο, καθιστώντας τον έλεγχο όλο και πιο δύσκολο».

Οι επιχειρήσεις αναγνωρίζουν ότι πρέπει να κάνουν περισσότερα για την τεχνολογία κινητής τηλεφωνίας. Ωστόσο, στην ταχέως μεταβαλλόμενη αγορά του mobile computing, η υιοθέτηση τεχνικών και λογισμικού ασφαλείας εξακολουθεί να είναι σχετικά περιορισμένη, με μόλις το 40% των επιχειρήσεων να χρησιμοποιεί κάποιας μορφής τεχνική κρυπτογράφησης για τις κινητές συσκευές.

Δαπανώνται σωστά τα μεγαλύτερα κονδύλια;

Καθώς οι επιχειρήσεις βρίσκονται αντιμέτωπες με περισσότερες απειλές και περισσότερη τεχνολογία, αντιδρούν αυξάνοντας τους προϋπολογισμούς τους και προσαρμόζοντας τις προτεραιότητες τους. Το 51% των επιχειρήσεων ανέφεραν ότι σχεδιάζουν να αυξήσουν τους προϋπολογισμούς τους για περισσότερο από 5% κατά τους επόμενους 12 μήνες ενώ ήδη το 32% των ερωτηθέντων, ξοδεύουν πάνω από ένα εκατ. δολάρια  για την ασφάλεια των πληροφοριών. Αξίζει να σημειωθεί ότι το επίπεδο των επενδύσεων στον τομέα της ασφάλειας πληροφοριών, κυμαίνεται σε παγκόσμιο επίπεδο, στο 48% με τις Αμερικανικές επιχειρήσεις να διαθέτουν πάνω από ένα εκατ. δολάρια, σε σύγκριση με το ποσοστό του 35% και 26% που ισχύει αντίστοιχα στις περιοχές Ασίας-Ειρηνικού και ΕΜΕΙΑ (Ευρώπη, Μέση Ανατολή, Ινδία και Αφρική). Όσον αφορά στους τομείς προτεραιότητας των επενδύσεων, το 55% των ερωτηθέντων αναφέρει ότι επιδιώκει την εξασφάλιση νέων τεχνολογιών και το 47% την εξασφάλιση της συνεχούς επιχειρηματικής δραστηριότητας.

Απαιτείται μετάθεση της ευθύνης από το IT στη διαχείριση κινδύνου

Οι αυξήσεις στους προϋπολογισμούς που σχεδιάζονται θα είναι αποτελεσματικές μόνο αν η ευθύνη ανατεθεί στα κατάλληλα κέντρα αποφάσεων. Σε πολλές επιχειρήσεις, η πρωτοβουλία για την ασφάλεια των πληροφοριών εξακολουθεί να ανήκει στο τμήμα πληροφορικής (IT). Το 63% των ερωτηθέντων αναφέρει ότι οι επιχειρήσεις τους έχουν αναθέσει την ευθύνη για την ασφάλεια των πληροφοριών στα χέρια του τμήματος πληροφορικής.

Καθώς η ασφάλεια των πληροφοριακών συστημάτων ξεφεύγει των παραδοσιακών θεμάτων πληροφορικής, χρειάζονται αποφάσεις για την επιλογή των κατάλληλων εργαλείων, διαδικασιών και μεθόδων παρακολούθησης των απειλών, τη μέτρηση της απόδοσης και τον εντοπισμό των κενών. Κατά συνέπεια απαιτείται μια επαναξιολόγηση των αρμοδιοτήτων.

Με το ποσοστό του 5% των υπευθύνων διαχείρισης κινδύνων να έχουν σήμερα στις αρμοδιότητες τους την ασφάλεια των πληροφοριών, πολλές επιχειρήσεις δεν διαθέτουν τους θεσμοθετημένους μηχανισμούς αξιολόγησης κινδύνου, με αποτέλεσμα το 52% των επιχειρήσεων να μην διαθέτουν πρόγραμμα πληροφοριών για τους κινδύνους/απειλές.Ο πολλαπλασιασμός των απειλών, απαιτεί πολλαπλές πηγές αξιολόγησης για την παρακολούθηση και εκτίμηση των περιστατικών ασφαλείας, όπως εσωτερικός έλεγχος, εσωτερική αυτοαξιολόγηση και αξιολογήσεις τρίτων.

Ο Van Kessel καταλήγει: «Για ορισμένες επιχειρήσεις, παράγοντες όπως οι δεξιότητες, οι πόροι, η ωρίμανση της ασφάλειας ή ο προϋπολογισμός ενδέχεται να παίζουν κάποιο ρόλο στη λήψη των αποφάσεων. Όμως τα ημίμετρα που βλέπουμε σήμερα, τα οποία, αντιμετωπίζουν μόνο βραχυπρόθεσμα προβλήματα ασφάλειας των πληροφοριακών συστημάτων, αποκρύπτουν ένα μεγαλύτερο πρόβλημα που συνδέεται με την ευπάθεια.»

Σχετικά με το μέλλον προσθέτει: «Παρά το γεγονός ότι έχουμε εντοπίσει μερικά από τα σημερινά κενά, υπάρχουν ακόμα περισσότερα στον ορίζοντα, με τη μορφή κρατικών παρεμβάσεων και νέων κανονιστικών πιέσεων. Αν οι επιχειρήσεις δεν λάβουν μέτρα για την ανάπτυξη ενός ολοκληρωμένου πλαισίου ασφάλειας σήμερα, οι συνδυαστικές συνέπειες των σημερινών και των μελλοντικών προβλημάτων θα οδηγήσουν σε περαιτέρω αύξηση των απειλών για την ασφάλεια των πληροφοριακών συστημάτων.»

Αξίζει να σημειωθεί ότι η έκθεση, η οποία εκδίδεται τα τελευταία δέκα πέντε χρόνια, βασίζεται στις απαντήσεις περισσοτέρων από 1.850 CIOs, CISOs και άλλων στελεχών ασφάλειας των πληροφοριών από 64 χώρες.