HomeStiriBusiness & TehnologieErnst & Young: Trebuie schimbată radical abordarea faţă de securitatea informaţiilor
ernst & young's 2012

Ernst & Young: Trebuie schimbată radical abordarea faţă de securitatea informaţiilor

ernst & young's 2012Organizaţiile trebuie să îşi schimbe radical abordarea faţă de securitatea informaţiilor, pentru a putea răspunde ameninţărilor reprezentate de noile tehnologii, potrivit unui raport Ernst & Young dat publicităţii miercuri.

Raportul “Global Information Security Survey 2012“, aflat la a 15-a ediţie anuală, reprezintă una dintre cele mai complete studii în domeniu şi se bazează pe răspunsurile a peste 1.850 de CIO (manageri IT), CISO (manageri de securitate a informaţiei) şi alţi directori de securitate a informaţiei din 64 de ţări.

Organizaţiile recunosc faptul că mediul de risc se schimbă continuu, pe măsură ce se intensifică frecvenţa şi natura ameninţărilor de securitate a informaţiilor, iar numărul incidentelor de securitate creşte. Peste trei sferturi (77%) dintre respondenţi afirmă că există o creştere a riscului de atacuri externe, iar acesta nu este singura sursă de îngrijorare pentru organizaţiile globale, un procent de 46% raportând că vulnerabilităţile interne sunt şi ele în creştere.

Totodată, organizaţiile iau măsuri tot mai complexe pentru a-şi îmbunătăţi sistemele de securitate a informaţiei, astfel încât acestea să aibă capacitatea de a oferi soluţii pe termen scurt – fără a bloca mecanismele structurii generale a sistemului de securitate a informaţiilor. Cu un procent de 31% de respondenţi care se confruntă cu un număr tot mai mare de incidente de securitate în ultimii doi ani, necesitatea de a dezvolta o arhitectură de securitate solidă nu a fost niciodată mai stringentă. Cu toate acestea, 63% dintre organizaţii nu dispun de aşa ceva şi doar 16% dintre respondenţi declară că funcţia de securitate a informaţiilor satisface pe deplin nevoile organizaţiei.

“Noile tehnologii deschid oportunităţi extraordinare pentru organizaţii dar, în acelaşi timp, şi potenţiale ameninţări provenite din surse necunoscute anterior. Cloud computing continuă să fie unul dintre principalele motoare ale inovării modelului de afaceri, numărul organizaţiilor care utilizează această tehnologie aproape dublându-se în ultimii doi ani. Cu toate acestea, 38% dintre organizaţii nu au luat nicio măsură de atenuare a riscurilor, cum ar fi supravegherea mai atentă a procesului de management al contractelor pentru furnizorii de cloud computing sau utilizarea unor tehnici de criptare”, se arată în raport.

La noul context informaţional, cu riscuri multiple şi noi tehnologii de securitate, organizaţiile răspund prin mărirea bugetelor şi ajustarea priorităţilor. 51% dintre organizaţii au afirmat că intenţionează să mărească bugetul cu mai mult de 5% în următoarele 12 luni. Cu toate că 32% dintre respondenţi au cheltuit peste 1 milion de USD pentru securitatea informaţiilor, nivelul investiţiilor variază la nivel global. În ceea ce priveşte alocarea bugetului, în topul priorităţilor de investiţii se află asigurarea de noi tehnologii (55%) şi continuitatea afacerilor (47%).

Creşterile de buget planificate pot fi eficiente numai dacă factorii de decizie potriviţi îşi asumă responsabilitatea. Securitatea informaţiilor continuă să fie condusă de IT în multe organizaţii; 63% dintre respondenţi au indicat faptul că organizaţiile lor au plasat responsabilitatea pentru securitatea informaţiilor în mâinile funcţiei de IT.

Cu toate acestea, pe măsură ce necesitatea securităţii informaţiilor începe să se extindă dincolo de sfera tradiţională de IT, deciziile trebuie să se concentreze şi ele pe selectarea instrumentelor potrivite, pe definirea corectă a proceselor şi metodelor de monitorizare a riscurilor, calibrând performanţa şi identificând lacunele de acoperire. Astfel, devine necesară o reevaluare a responsabilităţilor.

“În prezent, securitatea informaţiilor este asigurată în doar 5% din cazuri de manageri de risc, ceea ce înseamnă că multe organizaţii nu dispun de un mecanism formal de evaluare a riscurilor furnizat de funcţia de risc. Astfel, 52% dintre organizaţii nu au dezvoltat încă un program de gestionare a riscurilor. Potenţialele riscuri şi accelerarea decalajului dintre vulnerabilitate şi securitate obligă companiile să aibă în vedere mai multe surse de evaluare, cum ar fi auditul intern, autoevaluări interne şi evaluările de la terţi pentru a monitoriza şi evalua incidentele de securitate a informaţiei”, se mai spune în studiu.

Share With: