PwC: Έρευνα για την παγκόσμια κατάσταση ασφάλειας των πληροφοριών

PwC: Έρευνα για την παγκόσμια κατάσταση ασφάλειας των πληροφοριών

Ένας στους δύο συμμετέχοντες πιστεύει ότι οι οικονομικές συνθήκες συνεχίζουν να επηρεάζουν τις επενδύσεις για την Ασφάλεια των Πληροφοριών, σύμφωνα με την Έρευνα για την Παγκόσμια Κατάσταση Ασφάλειας των Πληροφοριών (2011 Global State of Information Security Survey®) της PwC. Όμως υπάρχει και αισιοδοξία, καθώς οι περισσότεροι είπαν ότι οι εταιρείες τους πρόκειται να αυξήσουν τις επενδύσεις για την Ασφάλεια την επόμενη χρονιά.

Όπως αναφέρει σε ανακοίνωσή της η PwC, πρόκειται για την 8η παγκόσμια έρευνα για την Ασφάλεια των Πληροφοριών σε όλο τον κόσμο, τη σημαντικότερη έρευνα στον κλάδο, που διεξήγαγε η PwC σε συνεργασία με τα περιοδικά CIO και CSO. Συμμετείχαν πάνω από 12.800 στελέχη εταιρειών από 135 χώρες, ανάμεσα στις οποίες και η Ελλάδα.

Οι συμμετέχοντες στην έρευνα ήταν αισιόδοξοι, αλλά και επιφυλακτικοί. Όπως ήδη αναφέραμε, πάνω από τους μισούς (52%) δήλωσαν ότι η εταιρεία τους πρόκειται να αυξήσει τις επενδύσεις για την Ασφάλεια, αλλά και ότι οι άμεσοι συνεργάτες και οι προμηθευτές τους, ιδιαιτέρως οι outsourcers (εξωτερικοί πάροχοι), αποδυναμώθηκαν από τις οικονομικές συνθήκες. Επίσης, το 47% δήλωσε ότι οι εταιρείες τους επηρεάστηκαν από τις περικοπές των δαπανών, καθυστερώντας ή και αναβάλλοντας έργα σχετικά με την Ασφάλεια.

Η έρευνα εντοπίζει τους βασικούς παράγοντες που οδήγησαν τις επενδύσεις στην Ασφάλεια αυτή τη χρονιά. Οι εταιρείες επένδυσαν για να αποφύγουν τις οικονομικές επιπτώσεις από πιθανά περιστατικά ασφαλείας (49%), για να διασφαλίσουν τη συνέχεια των εργασιών τους και τη δυνατότητα ανάκαμψης από περιστατικά καταστροφής (40% ), για να διατηρήσουν την καλή τους φήμη (35%), για συμμόρφωση με εσωτερικές πολιτικές ασφάλειας (34%) και για κανονιστική συμμόρφωση (33%).

«Στην Ελλάδα, οι ίδιοι παράγοντες καθόρισαν τις δαπάνες. Αλλά με τη διαφορά ότι πολλές ελληνικές επιχειρήσεις και δημόσιοι οργανισμοί έχουν ακόμη δρόμο να διανύσουν για να φτάσουν στα ίδια επίπεδα με τις ήδη εξελιγμένες χώρες σε αυτούς τους τομείς», τονίζει ο Αστέριος Βουλανάς, Partner της PwC στην Ελλάδα, υπεύθυνος του τμήματος Technology Governance & Security.

Σύμφωνα με την έρευνα, ο μόνος παράγοντας καθορισμού των δαπανών που αυξήθηκε σημαντικά αυτή τη χρονιά ήταν οι ‘υπηρεσίες προς τους ενδοεπιχειρησιακούς πελάτες’. Αυτός ο παράγοντας, ενώ ήταν στο τέλος της λίστας το 2007, έφτασε φέτος να βρίσκεται σχεδόν στην κορυφή. Η αύξηση αυτή αποδεικνύει τη σταθερά στρατηγική σημασία που έχει η Ασφάλεια για τη λειτουργία των επιχειρήσεων.

Σημαντική αλλαγή στις γραμμές αναφοράς των Διευθύνσεων Ασφάλειας Πληροφοριών

Η έρευνα εντόπισε σημαντική μεταβολή στην ιεραρχία αναφοράς των στελεχών Ασφάλειας Πληροφοριών, καθώς τώρα αναφέρονται στα ανώτερα στελέχη και κυρίως στους γενικούς και οικονομικούς διευθυντές.

«Αυτή η αλλαγή δείχνει ότι αναγνωρίζεται όλο και περισσότερο η στρατηγική σημασία της Ασφάλειας Πληροφοριών, αλλά και ότι οι λειτουργίες της είναι στενά συνδεδεμένες με τη λειτουργία των επιχειρήσεων, και όχι μόνο με τα τμήματα Πληροφορικής. Όμως στην Ελλάδα η κατάσταση είναι διαφορετική. Η λειτουργία της Ασφάλειας Πληροφοριών εξακολουθεί να παραμένει συγκεντρωμένη στο τμήμα Πληροφορικής. Αν και είναι βέβαιο ότι οι γενικοί και οικονομικοί διευθυντές αρχίζουν να στρέφουν όλο και περισσότερο την προσοχή τους σε θέματα που αφορούν την Ασφάλεια», διευκρινίζει ο κ. Βουλανάς.


Οι αιτίες για τα περιστατικά Ασφαλείας

Ενώ οι εταιρείες μπορούν πια να γνωρίζουν περισσότερα για κάθε περιστατικό Ασφαλείας, τα επίπεδα απόδοσης ευθυνών αυξάνονται για όλες τις πιθανές αιτίες τους, στις οποίες περιλαμβάνονται οι hackers, αλλά και οι ίδιοι οι εργαζόμενοι.

Οι hackers είναι η κατηγορία υπόπτων που εξελίσσονται πολύ γρήγορα σε σχέση με τις άλλες. Όμως, πολλές φορές, οι εισβολείς μέσα από την εταιρεία θεωρούνται ως οι πιο πιθανοί ύποπτοι. Και είναι αναμενόμενο να υπάρχουν περισσότερα περιστατικά που να οφείλονται σε υπαλλήλους ή πρώην υπαλλήλους, εξαιτίας της στασιμότητας των μισθών, της εργασιακής ανασφάλειας, των προσωρινών και οριστικών διακοπών στην απασχόληση, καθώς και άλλων θεμάτων που προκαλεί η οικονομική κρίση στο ανθρώπινο δυναμικό.

«Στις ελληνικές επιχειρήσεις ο κίνδυνος των εσωτερικών απειλών είναι πολύ μεγάλος, εξαιτίας των δύσκολων οικονομικών συνθηκών. Συνεπώς τα τμήματα Ασφάλειας Πληροφοριών θα πρέπει να δώσουν μεγαλύτερη βαρύτητα στην πρόληψη και στην αντιμετώπιση τέτοιου είδους απειλών, οι συνέπειες των οποίων μπορεί να επιβαρύνουν την ήδη δυσχερή οικονομική τους κατάσταση ”, επισημαίνει ο κ. Βουλανάς.


Οι κίνδυνοι από τα κοινωνικά δίκτυα (social networks) και ο νέος ρόλος της Ασφάλειας

Η έρευνα αποκάλυψε ότι πολλές εταιρείες είναι ανέτοιμες να αντιμετωπίσουν πιθανούς κινδύνους που οφείλονται στην κοινωνική δικτύωση (social networking / Web 2.0 εφαρμογές). Το 60% των ερωτηθέντων απάντησε ότι οι εταιρείες τους δεν έχουν ακόμη θέσει σε εφαρμογή τεχνολογίες που υποστηρίζουν συναλλαγές με εφαρμογές Web 2.0, όπως είναι τα κοινωνικά δίκτυα (όπως Facebook, Twitter), τα blogs ή τα wikis. Επίσης, ακόμα περισσότεροι (77%) υποστήριξαν ότι οι εταιρείες τους δεν έχουν ακόμα εφαρμόσει πολιτικές ασφαλείας σχετικά με τη στη χρήση κοινωνικών δικτύων ή τεχνολογίες ασφάλειας για Web 2.0 εφαρμογές.

Αυτή η έλλειψη στη λήψη μέτρων για την κοινωνική δικτύωση και για τις Web 2.0 εφαρμογές αφήνει τις εταιρείες εκτεθειμένες σε κινδύνους όπως η διαρροή κρίσιμων πληροφοριών, η σπίλωση της καλής τους φήμης, η παράνομη χρήση (downloading) πειρατικού υλικού, αλλά και η κλοπή κωδικών πρόσβασης χρηστών.

Σύμφωνα με την έρευνα, πολλές εταιρείες χρησιμοποιούν μέτρα για την προστασία από την κλοπή ή την κακόβουλη χρήση των περιουσιακών στοιχείων του οργανισμού, όπως είναι τα διαβαθμισμένα δεδομένα ή τα ευαίσθητα δεδομένα πελατών. Επίσης, σχεδόν οι μισοί συμμετέχοντες (46%) είπαν ότι οι εταιρείες τους διεκδίκησαν ασφαλιστική αποζημίωση και ένα 13% δήλωσε ότι η εταιρεία τους αποζημιώθηκε.


Η Ασία τώρα πρωτοπόρος στα ώριμα μέτρα Ασφαλείας (security capabilities)

Παρόλο που ακολουθούσε για πολλά χρόνια τη Βόρειο Αμερική, η Ασία τώρα εμφανίζει υψηλότερα επίπεδα ωριμότητας στην εφαρμογή και λήψη ποικίλων μέτρων ασφαλείας από οποιαδήποτε άλλη περιοχή του κόσμου.

Τα στελέχη που συμμετείχαν στην έρευνα από την Ασία απάντησαν, σε μεγαλύτερο ποσοστό από άλλες περιοχές, ότι οι δαπάνες για την ασφάλεια θα αυξηθούν μέσα στους επόμενους 12 μήνες (86% από την Ασία, 71% τη Βόρειο Αμερική, 81% από τη Νότιο Αμερική και το 68% από την Ευρώπη). Τα αποτελέσματα αυτά φαίνεται ότι συμβαδίζουν με το ρυθμό ανάπτυξης των λεγόμενων BRIC χωρών. Αξίζει να επισημάνουμε, ότι οι εταιρείες στην Ασία εφαρμόζουν ήδη τις νέες πρακτικές και τεχνολογίες ασφαλείας που υποστηρίζουν οι Web 2.0 εφαρμογές.

Η Ευρώπη φαίνεται να δίνει λιγότερη προσοχή σε θέματα Ασφαλείας Πληροφοριών, καθώς προς το παρόν είναι πίσω από άλλες περιοχές ως προς την ωριμότητα των μέτρων Ασφαλείας. Όπως και στη Βόρειο Αμερική, έτσι και στην Ευρώπη οι εταιρείες είναι ακόμη πίσω στην παρακολούθηση των περιστατικών Ασφαλείας, με αποτέλεσμα να αγνοούν τον πραγματικό αντίκτυπό τους. Παρόλο που πολλοί από τους Ευρωπαίους συμμετέχοντες (68%) είπαν ότι οι εταιρείες τους δίνουν μεγάλη σημασία στην προστασία των ευαίσθητων προσωπικών δεδομένων των πελατών τους, το αντίστοιχο ποσοστό στις άλλες περιοχές του κόσμου είναι υψηλότερο, στην Ασία 80%, στη Β. Αμερική 80% και στη Ν. Αμερική 76%.

Ο κ. Βουλανάς δηλώνει ότι: «Παρόλο που η οικονομική κρίση εντείνεται και οι προϋπολογισμοί μειώνονται, οι ελληνικές εταιρείες, και πρωτίστως ο χρηματοπιστωτικός και ο τηλεπικοινωνιακός κλάδος, εξακολουθούν να δίνουν μεγαλύτερη σημασία στην Ασφάλεια Πληροφοριών σε σχέση με τους άλλους κλάδους. Έχουμε διαπιστώσει αυξημένη δραστηριότητα στον τομέα της Ενέργειας, όμως ο Δημόσιος Τομέας και η Υγεία συνεχίζουν να προσεγγίζουν την Ασφάλεια με λήψη σπασμωδικών μέτρων. Ενώ στον κλάδο της Λιανικής οι εξελίξεις καθορίζονται από την ανάγκη εφαρμογής του Διεθνούς Προτύπου Ασφαλείας των Καρτών (PCI-DSS)».

«Ενώ ορισμένες ελληνικές εταιρείες συνεχίζουν να αναβαθμίζουν και να επενδύουν στις τεχνολογίες Ασφαλείας, παρά τους σφιχτούς προϋπολογισμούς τους, θα πρέπει παράλληλα να επικεντρώσουν την προσοχή τους στον ‘ανθρώπινο παράγοντα’ μέσω της εκπαίδευσης και της αφύπνισης των στελεχών της διοίκησης, του προσωπικού, των πελατών και των προμηθευτών τους», συμπλήρωσε ο κ. Βουλανάς.

Η εκπαίδευση και ευαισθητοποίηση των χρηστών μπορεί να συμβάλλει σημαντικά στην αλλαγή της συμπεριφοράς και στη σωστή αντίληψη σε θέματα ασφάλειας. Επίσης, με αυτές τις διαδικασίες ενισχύεται η αξιοπιστία του τμήματος Ασφαλείας Πληροφοριών και αναγνωρίζεται η συμβολή του για την προστασία των πληροφοριών και των συστημάτων του οργανισμού.



source: capital.gr