www.pwc.pl/bezpieczenstwo-biznesu Bezpieczne informacje bezpieczna przyszłość Kluczowe obserwacje z wyników ankiety Globalny stan bezpieczeństwa informacji 2014 () Po raz pierwszy wyniki dla Polski! grudzień 2013 r.
Piotr Urban Partner Lider PwC Risk Assurance Rafał Jaczyński Lider PwC Cyber Security Szanowni Państwo, Bezpieczeństwo informacji i systemów powszechnie określane terminem cyberbezpieczeństwo jest coraz bardziej istotnym elementem działalności biznesowej. Przetwarzanie w chmurze, mobilność, internet rzeczy, sieci społecznościowe są znacznie częściej obecne w naszym życiu. Postanowiliśmy przyjrzeć się tym trendom w naszym dorocznym badaniu stanu bezpieczeństwa informacji na świecie, które PwC przeprowadza wspólnie z magazynami CIO i CSO. W tegorocznej edycji po raz pierwszy prezentujemy wyniki badania dotyczące polskiego rynku na tle rezultatów globalnych. Z przyjemnością oddajemy w Państwa ręce nasz raport. Zapraszamy do lektury i zachęcamy do kontaktu z naszymi ekspertami.
Spis treści Główne obserwacje 6 7 Dzisiejsze zagrożenia, wczorajsze strategie 11 Słaba obrona 14 Przygotowując się na nadchodzące zagrożenia 17 Największe przeszkody 20 Praktyki bezpieczeństwa Europa a Polska 21 Podsumowanie 22 Metodyka badań 23
Główne obserwacje W ostatnich latach zagrożenia dla bezpieczeństwa informacji zmieniły się i stały się bardziej powszechne niż kiedykolwiek wcześniej. W takiej sytuacji podejście do bezpieczeństwa, którego głównym celem tradycyjnie jest zaspokojenie wymagań regulacyjnych, nie jest już wystarczające. Co z tego wynika? Dzisiaj wiele organizacji nadal opiera się na przestarzałych strategiach bezpieczeństwa i prowadzi raczej nieskuteczną walkę z doskonale wyszkolonymi i zmotywowanymi przeciwnikami, którzy posługują się technologią jutra. Wyrafinowani intruzi z łatwością pokonują przestarzałe zabezpieczenia i przeprowadzają dynamiczne i precyzyjnie wymierzone ataki, które są bardzo trudne do wykrycia. Wielu z nich stosuje dobrze skonstruowane ataki phishingowe, adresowane do kierownictwa wysokiego szczebla. Co gorsza, powierzchnia możliwego ataku wzrosła, ponieważ partnerzy, dostawcy czy klienci coraz częściej współpracują i kontaktują się ze sobą głównie za pośrednictwem Internetu. Kwestia bezpieczeństwa teleinformatycznego staje się coraz bardziej złożona i stanowi ogromne wyzwanie. Powstaje nowa dyscyplina, w której niezbędne są nowatorskie technologie i procesy oraz umiejętności oparte na technikach wywiadowczych ze względu na wzrost skomplikowania coraz bardziej kluczowe staje się stałe wsparcie zarządów firm. Kluczową kwestią nowego podejścia jest świadomość nieuchronności ataku oraz tego, że nie da się chronić wszystkich danych na tak samo wysokim poziomie. Ankieta The Global State of Information Security Survey 2014 służy zbadaniu, jak współczesne organizacje radzą sobie z tymi nowymi zagrożeniami. Z globalnej edycji tegorocznej ankiety wynika, że menedżerowie kładą coraz większy nacisk na bezpieczeństwo. Podkreślają, że wydatki na poprawę bezpieczeństwa wzrosły i uważają, że znacząco udało im się zwiększyć bezpieczeństwo ich organizacji zarówno w zakresie technologii, jak i procesów. Jednak, podczas gdy firmy podniosły poprzeczkę w zakresie działań związanych z zapewnianiem bezpieczeństwa, hakerzy poczynili jeszcze większe postępy. Wyniki globalnej edycji tegorocznej ankiety wskazują, że liczba incydentów związanych z bezpieczeństwem wzrosła o 25% w porównaniu z rokiem poprzednim, a średnie straty finansowe z powodu jednego ataku zwiększyły się o ponad 18%. Ankieta ujawnia również, że wiele organizacji nie wdrożyło technologii, które mogłyby pomóc określić konkretne zagrożenia, zidentyfikować i ochronić kluczowe aktywa oraz ocenić zagrożenia w kontekście celów biznesowych. Dla wielu przedsiębiorstw bezpieczeństwo wciąż nie jest jednym z podstawowych elementów strategii biznesowej i nie stanowi wysokiego priorytetu dla zarządu ani znaczącej pozycji w budżecie. Niewiele organizacji utrzymało odpowiednie tempo, aby dotrzymać kroku wzrastającemu ryzyku, a coraz mniej z nich jest przygotowanych do zwalczania przyszłych zagrożeń. W nowym modelu bezpieczeństwa informacji i IT kluczem jest wiedza. Zdobądź ją. Komentarz do wyników badania polskiego Globalne badanie zostało uzupełnione o część polską na zaproszenie skierowane do klientów PwC Polska i czytelników magazynu THINKTANK odpowiedziało dodatkowo ponad 70 firm i organizacji działających w Polsce. Głównie reprezentowane wśród polskich respondentów branże to sektor finansowy (bankowość i ubezpieczenia), telekomunikacyjny, usług doradczych, wytwarzania oprogramowania oraz przemysł. W naszym badaniu wzięły udział firmy z Polski będące liderami w swoich branżach. Na tle podobnych organizacji na świecie polskie firmy wyróżniają się korzystnie szczególnie w tych obszarach, które wymagają zgodności z przepisami prawa w szczególności dotyczącego ochrony danych osobowych i własności intelektualnej. Jednocześnie wskaźniki mówiące o strategicznej roli cyberbezpieczeństwa jak pozycja w strukturze firmy czy wielkość budżetu, znacząco odbiegają in minus od najlepszych praktyk. Piotr Urban, Partner, Lider PwC Risk Assurance 6 Główne obserwacje
Technologie cyfrowe stały się powszechne i zmieniły środowisko biznesowe. Dzisiaj organizacje są ściślej połączone, zintegrowane i wzajemnie zależne. Wykorzystują technologię i wszechobecną łączność sieciową, aby współdzielić niespotykaną ilość informacji z klientami, dostawcami, usługodawcami, partnerami i pracownikami. Te rozwiązania pozwalają realizować zadania biznesowe z niespotykaną dotychczas efektywnością. Jednak nowy ekosystem także coraz częściej zagraża organizacjom są one skazane na łaskę potencjalnych atakujących, którzy mogą wykorzystać technologie i procesy, aby zakłócić czy nawet przerwać działalność przedsiębiorstwa. Z tego powodu zagrożenia dotyczące bezpieczeństwa stały się krytycznym ryzykiem biznesowym dla wszystkich organizacji z całego świata. Powszechnie spotykane jest tradycyjne, reaktywne podejście do bezpieczeństwa informacyjnego, które degraduje kwestie bezpieczeństwa do problemu wyłącznie działów IT, jest powszechnie spotykane. W dzisiejszych realiach taki sposób zarządzania cyberbezpieczeństwem okazuje się jednak nieefektywny i nieuzasadniony. Nowe oblicze zagrożeń bezpieczeństwa wymaga, aby organizacje traktowały zapewnianie bezpieczeństwa informacyjnego jako część korporacyjnej strategii zarządzania ryzykiem, gdyż incydenty cyberbezpieczeństwa mogą mieć krytyczny wpływ na działalność operacyjną przedsiębiorstwa. Zapytaliśmy naszych respondentów, jak realizują swoje cele związane z bezpieczeństwem oraz czy stosowane przez nich środki bezpieczeństwa są dopasowane do celów biznesowych organizacji. Wyniki polskiej ankiety wskazują, że większość osób jest przekonana o słuszności działań swoich organizacji związanych z wdrażaniem i realizacją praktyk bezpieczeństwa. Silne zaufanie do bieżących działań w zakresie bezpieczeństwa Uderzające jest to, że nawet w otoczeniu ciągle nasilających się ryzyk, menedżerowie pozostają praktycznie w 100% przekonani o możliwościach swoich organizacji w zakresie realizacji skutecznej polityki bezpieczeństwa informacyjnego. Ogólnie ponad 80% respondentów twierdzi, że działania ich organizacji w zakresie bezpieczeństwa informacji są skuteczne. Większy optymizm cechuje jednak kadrę zarządzającą, która bardzo wysoko ocenia skuteczność działań związanych z bezpieczeństwem. Wśród pracowników na niższych stanowiskach i bezpośrednio realizujących poszczególne projekty można natomiast zauważyć większy dystans i mniejsze przekonanie o skuteczności podejmowanych działań. Ponad 80% respondentów z Polski ocenia, że działania ich organizacji w zakresie bezpieczeństwa informacji są skuteczne. 7
Ponad 64% respondentów z Polski ocenia, że wydatki spółki na bezpieczeństwo są dobrze dostosowane do jej celów biznesowych. O pewności co do słuszności realizowanej strategii bezpieczeństwa może też świadczyć ocena skuteczności ponoszonych wydatków. Można zauważyć, że takie podejście do oceny realizowanej strategii nieco zmniejsza ogólny optymizm w polskich organizacjach. Ponad 64% polskich respondentów twierdzi, że wydatki spółki na bezpieczeństwo są dobrze dostosowane do jej celów biznesowych. Pojawiają się również sceptyczne głosy kadry kierowniczej, co sugeruje, że polityka budżetowania inicjatyw związanych z bezpieczeństwem informacyjnym nie zawsze jest odpowiednio realizowana. Jednak podobnie, jak w innych krajach, przekonanie polskich respondentów o skuteczności działań w zakresie bezpieczeństwa sugeruje, iż stanowią one przynajmniej w teorii integralną część realizowanej strategii biznesowej. Optymizm dominuje również w kwestii podejścia do bezpieczeństwa informacyjnego. Większość z respondentów jest skłonna podejmować proaktywne działania w celu zwalczania nowych zagrożeń. Tych, którzy zadeklarowali, że mają skuteczną strategię i aktywnie wcielają ją w życie, nazywamy przodownikami, ponieważ wykazują dwie główne cechy liderów. Tegoroczne wyniki wskazują, że około 40% respondentów określa siebie jako przodowników. To niewiele mniej niż wskazują wyniki globalnej wersji raportu (tam takie podejście zadeklarowało 50% pytanych). Prawie jedna czwarta mówi, że jest lepsza w opracowaniu odpowiedniej strategii niż we wdrożeniu jej w życie, w związku z czym kwalifikujemy ich do kategorii strategów. Natomiast ci, którzy deklarują, że są lepsi w rozwiązaniu problemu niż w opracowaniu skutecznej strategii tzw. taktycy stanowią około 20% pytanych. Ostatnia grupa, która nie realizuje skutecznej strategii i zazwyczaj działa reaktywnie, to strażacy (około 15% respondentów). Wykres 1: Która z poniższych kategorii najlepiej opisuje podejście organizacji do ochrony bezpieczeństwa informacji? Przodownicy Stratedzy Taktycy 42% Strażacy 23% Mamy skuteczną strategię i Mamy skuteczną aktywnie wcielamy ją w życie strategię i aktywnie wcielamy ją w życie 8 19% Lepiej nam wychodzi Jesteśmy lepsi opracowanie odpowiedniej w opracowaniu strategii niż wcielanie jej w odpowiedniej życie strategii niż we wdrożeniu jej w życie 15% Lepiej nam wychodzi Nie mamy skutecznej strategii i Jesteśmy lepsi Nie mamy skutecznej rozwiązywanie problemu niż zazwyczaj działamy reaktywnie w rozwiązywaniu problemu strategii i zazwyczaj określenie skutecznej strategii niż w opracowaniu działamy reaktywnie skutecznej strategii
Czy przodownicy są rzeczywiście liderami? Samoocena przeprowadzona w taki sposób pozostaje mimo wszystko dość subiektywna. Dlatego też dokładniej przeanalizowaliśmy nasze dane i stworzyliśmy odpowiednie kryteria, które określają prawdziwego lidera nie na podstawie samooceny, lecz podejmowanych przez niego działań i prezentowanych możliwości. Prawdziwy lider w organizacji musi zadeklarować, że: jego organizacja posiada ogólną strategię bezpieczeństwa, Na podstawie powyższych kryteriów stwierdziliśmy, że tylko 26% wszystkich respondentów z Polski kwalifikuje się jako prawdziwi liderzy. Działają oni głównie w dużych firmach, o przychodzie ponad 5 mld złotych, w następujących branżach: bankowość detaliczna lub doradztwo finansowe, telekomunikacja, przemysł wydobywczy. Wykres 2: Przodownicy a liderzy Dane światowe wskazują, że prawdziwi liderzy wykrywają więcej incydentów bezpieczeństwa, lepiej rozumieją, jakie typy incydentów wystąpiły w ich organizacjach oraz są w stanie określić ich źródło. Raportują również niższe straty finansowe, które są wynikiem zmaterializowania się potencjalnych zagrożeń. zatrudnia dyrektora ds. bezpieczeństwa informacji (CISO), który odpowiada za program bezpieczeństwa i raportuje co najmniej do członka zarządu lub najwyższego kierownictwa, dokonuje pomiarów i przeglądów skuteczności zasad i procedur bezpieczeństwa informacji w organizacji, 40% 26% wie dokładnie, jakiego rodzaju zdarzenia bezpieczeństwa wystąpiły w ostatnim roku. Przodownicy Category 1 Category Liderzy 2 9
Powód do niepokoju: nakłady są niskie Mimo że większość respondentów deklaruje duże zaangażowanie oraz wykazuje znaczny optymizm, to jednak budżet działań podejmowanych w związku z bezpieczeństwem informacji wciąż pozostaje na niskim poziomie. Nasze wyniki wskazują, że stanowi on jedynie 2,7% całego budżetu IT. Można więc stwierdzić, że chęć działania oraz rosnące zaangażowanie spotykają się ze znaczącymi ograniczeniami finansowymi. Dla porównania globalnie budżet bezpieczeństwa wynosi średnio 3,8% budżetu IT przy jednocześnie nieporównywalnie większej skali wydatków na technologie IT. Tylko 33% ocenia, że budżet na bezpieczeństwo informacyjne wzrośnie. 10 Jakie są jednak przyszłe oczekiwania? Większość respondentów nie spodziewa się znaczącej poprawy aktualnej sytuacji. Tylko 33% pytanych z Polski twierdzi, że budżet na bezpieczeństwo informacyjne wzrośnie w ciągu następnych 12 miesięcy. W tej kategorii pozostajemy w tyle za innymi rynkami, na których oczekuje się wzrostu wysokości nakładów na bezpieczeństwo informacyjne (51% odpowiedzi w ankiecie globalnej).
Dzisiejsze zagrożenia, wczorajsze strategie w porównaniu z rokiem poprzednim. Obecnie jest tylko kwestią Takie wyniki sugerują, że coraz większy czasu, czy dana firma stanie się szum medialny wokół kwestii ofiarą. Należy założyć, że Trudno zignorować falę doniesień na temat bezpieczeństwa teleinformatycznego jest w pełni uzasadniony niepokój przy tym incydent naruszenia coraz bardziej wyrafinowanych i często coraz bardziej skutecznych metod ataków, budzi fakt, że wzrost ten wydaje się nie bezpieczeństwa już nastąpił, dotyczyć polskich przedsiębiorstw. Biorąc które miały miejsce na świecie w ostatnim tylko jeszcze go nie wykryliśmy. roku. Ponieważ informacje te bardzo często pod uwagę, że według niezależnych badań 75% ataków wynika wyłącznie z samego Oznacza to, że zarządzanie są upubliczniane w oczekiwaniu na faktu istnienia luki w zabezpieczeniach, wzbudzenie sensacji, konieczna jest ich kryzysowe i bezpieczeństwo a nie atrakcyjności celu, rozbieżności w tym dokładna weryfikacja. zaczęły się przenikać i muszą zakresie mogą wynikać z niższej efektywności procesów i rozwiązań Wyniki globalnego badania wskazują, że być traktowane łącznie. związanych z wykrywaniem incydentów liczba incydentów związanych Rafał Jaczyński, Lider PwC Cyber bezpieczeństwa. z bezpieczeństwem wzrosła o ponad 25% Security Wykres 3: Średnia liczba incydentów związanych z bezpieczeństwem w ostatnich 12 miesiącach (w globalnym raporcie) 3 741 2 562 2011 2011 2 989 2012 2012 2013 2013 11
Zwiększenie liczby wykrywanych incydentów naruszenia bezpieczeństwa teleinformatycznego nie świadczy o nieskuteczności wdrożonych strategii zabezpieczeń wręcz przeciwnie dzięki nowym technologiom i procesom monitorowania organizacje mogą szybciej wykrywać zagrożenia i ataki hakerów. Patryk Gęborys, Menedżer PwC Cyber Security Tezę o słabszym przygotowaniu polskich firm do wykrywania i obsługi incydentów bezpieczeństwa potwierdzają wyniki pokazujące, ilu respondentów nie dysponuje wiedzą o liczbie incydentów bezpieczeństwa, które wystąpiły w danej organizacji. W Polsce udział ten wynosi 22%, o 4 punkty procentowe więcej niż globalny poziom odniesienia. Po przeanalizowaniu szczegółowych skutków incydentów związanych z bezpieczeństwem w Polsce można dojść do nowych wniosków. W niemal połowie przypadków incydenty te dotyczą marki lub reputacji. Wiąże się to z rodzajem informacji, które mogą być ujawnione. Zazwyczaj są to informacje dotyczące własności intelektualnej lub tożsamości klienta lub pracownika. Praktycznie Wzrost ryzyka nowych zagrożeń wraz ze wszyscy respondenci odpowiedzieli, że to wzrostem ilości współdzielonych danych właśnie te dane są w ich organizacjach biznesowych sprawia, że najczęstszym traktowane jako najważniejsze. Wydaje się skutkiem potencjalnych incydentów więc naturalne, że ochrona powinna bezpieczeństwa jest utrata lub kradzież skupiać się na tych danych, które stają się danych. W Polsce niemal połowa wszystkich najczęstszym celem ataków. Wyniki ankiety ataków kończy się wyciekiem lub jednak wskazują, że zastosowane środki niedostępnością pewnych informacji. bezpieczeństwa nie pozwalają na efektywne Analogicznie raport globalny także zwalczanie ryzyka ich kradzieży, a kradzież wskazuje, że wspomniane ryzyko staje się własności intelektualnej znajduje się coraz bardziej poważne utrata danych jest w czołówce skutków incydentów skutkiem 24% wszystkich incydentów, bezpieczeństwa. o 16% więcej niż w ubiegłym roku. Wykres 4: Skutki incydentów bezpieczeństwa w Polsce 40% 30% 20% 15% Category 1 Zagrożenie dla marki/reputacji Category 2 Kradzież miękkiej własności intelektualnej (np. procesów, wiedzy instytucjonalnej itp.) Category 3 Kradzież tożsamości (informacji o kliencie lub pracowniku) Category 4 Kradzież twardej własności intelektualnej (np. strategicznych planów przedsiębiorstwa, dokumentów dotyczących transakcji, itp.) 15% Category 5 Narażenie na ryzyko prawne/pozew 15% Category 6 Utrata lub uszkodzenie ewidencji wewnętrznej Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź. 12
Osoby z wewnątrz organizacji, osoby trzecie oraz hakerzy Jak co roku, zapytaliśmy naszych respondentów o przypuszczalne źródła incydentów bezpieczeństwa. Ponad połowa ankietowanych z Polski wskazała na osoby z wewnątrz organizacji pracowników lub dostawców. Uczestnicy globalnej edycji ankiety również wskazują, że dominującym źródłem incydentów są osoby z wewnątrz organizacji i zaufani partnerzy. Wyniki globalnego badania GISS warto zestawić z niezależnymi raportami przygotowanymi w oparciu o rzeczywiste dane z analizowanych incydentów: według Verizon 2013 Data Breach Investigations Report źródłem znakomitej większości (92%) incydentów były osoby trzecie, a większość (52%) była związana z włamaniami do systemów informatycznych. To porównanie wymaga komentarza. Dotychczas nienaruszalnym dogmatem zarządzania bezpieczeństwem było twierdzenie, że większość incydentów jest powodowana przez pracowników. Sądzimy, że pora już odłożyć to założenie do lamusa i podkreślić, że pracownicy i współpracownicy firm coraz rzadziej stają się inicjatorami nadużyć coraz częściej natomiast są świadomymi lub nieświadomymi współpracownikami przestępców. Zmiana podejścia nie oznacza bynajmniej powrotu do koncepcji budowy muru na granicy ze światem zewnętrznym; oznacza, że pracownicy oraz zasoby informatyczne bezpośrednio przez nich wykorzystywane (komputery, systemy i sieci biurowe, usługi internetowe) są tak naprawdę kolejnym frontem, który powinny uwzględniać firmowe linie obronne. Wykres 5: Przypuszczalne źródła incydentów Koszty i stopień skomplikowania procedur reagowania na incydenty rosną. Dotyczy to przeprowadzenia dochodzenia, zrozumienia ryzyk biznesowych, opanowania incydentów i poinformowania partnerów, a także ewentualnego postępowania sądowego. Dodatkowo wzrasta koszt działań naprawczych, trzeba bowiem analizować coraz większą liczbę aktów w ramach różnych obszarów jurysdykcji, a kontrole bezpieczeństwa nie dotrzymują tempa ciągle zmieniającemu się środowisku i zagrożeniom. Osoby z wewnątrz organizacji Aktualni pracownicy Category 1 50% Byli pracownicy Category 2 25% Zaufani partnerzy Aktualni dostawcy usług/konsultanci/ Category 3 wykonawcy 15% Klienci Category 4 Byli dostawcy usług/konsultanci/ Category 5 wykonawcy Brokerzy informacji Category 6 10% 5% 3% Osoby trzecie Category 7 Hakerzy 25% Category 8 Konkurenci 10% 9 Przestępczość Category zorganizowana 10% Aktywiści/organizacje aktywistów/ Category 10 aktywiści-hakerzy 5% Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź. 13
Słaba obrona Jedną z przyczyn, dla których organizacje nie posiadają Aby poradzić sobie z aktualnymi efektywnych planów w zakresie zagrożeniami, organizacje powinny zrozumieć otoczenie w tym podatności na zagrożeń wewnętrznych, czy ataki, którym należy zapobiec, oraz też wynikających z pewnych nowe zagrożenia. Działania i inwestycje klas partnerów (dostawcy, należy realizować zgodnie z najlepszą dostępną wiedzą i dostosowywać do itp.), jest zbyt daleko idące biznesowego otoczenia organizacji. zaufanie do sieci wewnętrznej. W biznesie trzeba zrozumieć, Dla wielu oznacza to zdecydowaną zmianę w procesie myślenia i planowania. Nie jest że zaufanie nie powinno być więc zaskakujące, że wielu respondentów automatycznym założeniem. przyznaje, iż w ich organizacjach nie wdraża się technologii i procesów, które zapewniają przegląd i analizę możliwych ryzyk i zagrożeń. Na przykład 55% pytanych w Polsce nie wdraża mechanizmów profilowania i monitorowania zachowań, 42% respondentów nie ma natomiast planów wykorzystywania systemów monitorowania i zarządzania zdarzeniami (SIEM). Narzędzia do zarządzania aktywami, które są najważniejszym elementem strategii ochrony danych w organizacji, nie zostały ujęte w planach inwestycyjnych 41% respondentów. Z drugiej strony warto jednak wspomnieć, że respondenci w Polsce dość często stosują narzędzia zapobiegające utracie danych (DLP) oraz systemy wykrywania i zapobiegania włamaniom (IPS) tak wskazało odpowiednio 57% i 60% pytanych. 14 Dane w organizacjach są coraz częściej rozproszone i współdzielone pomiędzy wielu partnerów, dostawców, zleceniobiorców oraz klientów. Niezwykle ważną kwestią staje się ochrona tych danych oraz zrozumienie potencjalnego ryzyka związanego z ich współdzieleniem. Co więcej, organizacje powinny być pewne, że trzecie strony spełniają wymagania dotyczące ochrony prywatności danych. Respondenci w Polsce deklarują, że w większości przypadków (74%) wymagają, aby podmioty zewnętrzne (w tym zewnętrzni usługodawcy w ramach outsourcingu) przestrzegały firmowej polityki bezpieczeństwa. Podczas gdy ponad połowa (54%) prowadzi spis wszystkich podmiotów zewnętrznych, które mają do czynienia z danymi osobowymi pracowników i klientów, to tylko 34% deklaruje, że regularnie przeprowadza odpowiednie audyty, aby mieć pewność, że osoby trzecie zdołają zapewnić ochronę takich informacji. Jak już wspomnieliśmy, podwyższone ryzyko i rosnące zagrożenia wymagają, aby w organizacji uświadamiano sobie, że w dzisiejszych czasach ochrona wszystkich informacji na takim samym priorytetowym poziomie nie jest już realna ani nawet możliwa. W nowym modelu bezpieczeństwa biznes powinien zidentyfikować i przypisać odpowiednie znaczenie tym zbiorom informacji, które są najważniejsze dla działania organizacji.
Kluczowym ryzykiem w zakresie prywatności danych jest silny wzrost użycia urządzeń mobilnych takich jak smartfony czy tablety, a także stosowanie polityki bring your own device (BYOD) w organizacjach. Podczas, gdy skala wykorzystania urządzeń mobilnych do współdzielenia i przesyłania danych jest coraz większa, proces wdrożenia nowych mechanizmów bezpieczeństwa urządzeń mobilnych jest zdecydowanie opóźniony, co szczególnie widać po globalnych wynikach ankiety. W Polsce organizacje dość chętnie stosują mechanizmy ochrony urządzeń mobilnych. Nadal jednak mniej niż połowa z nich wdrożyła mechanizmy umożliwiające zdalne zarządzanie urządzeniami mobilnymi (MDM), które są kluczowym narzędziem do zautomatyzowanego zarządzania zbiorem służbowych smartfonów. Wykres 6: Inicjatywy dotyczące urządzeń mobilnych 63% Urządzenia mobilne powszechnie pojawiają się w firmowych sieciach, a użytkownicy coraz częściej domagają się ułatwienia im dostępu do firmowych zasobów. Działy IT i bezpieczeństwa informacji muszą znaleźć balans między oczekiwaniami biznesu a wymaganiami regulacyjnymi i ochrony informacji. 59% 48% 35% 39% 44% 37% 44% 42% 30% 19% 7% Klasyfikacja wartości Zakaz używania lub Mocne Zakaz używania biznesowej dostępu do siecilub z uwierzytelnianie na własnych dostępu do sieci urządzeń urządzeniach z użytkownika własnych urządzeń w użytkownika miejscu pracy w miejscu pracy Oprogramowanie do Ochrona firmowej Strategia Korzystanie z Oprogramowanie Ochrona firmowej Strategia Korzystanie zarządzania do poczty elektronicznej bezpieczeństwa mechanizmów zarządzania poczty elektronicznej bezpieczeństwa urządzeniami i kalendarzy na urządzeń mobilnych z mechanizmów kontroli urządzeniami i kalendarzy na urządzeń mobilnych kontroli mobilnymi (MDM) urządzeniach geolokalizacji mobilnymi (MDM) urządzeniach geolokalizacji własnych firmowych pracownika i i prywatnych użytkownika Polska Świat Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź. 15
Tylko 17% respondentów ocenia, że wdrożyli polityki dotyczące stosowania usług w chmurze. 16 Chmury obliczeniowe są w powszechnym użyciu już od ponad dekady i stają się jednym z głównych elementów infrastruktury serwerowo-usługowej organizacji. Prawie połowa (48%) respondentów z Polski odpowiedziała, że w ich organizacji wykorzystuje się tę technologię. Wśród tych osób 33% stwierdziło, że bezpieczeństwo poprawiło się dzięki przejściu na taki model dostawy usług. Pojawiły się też jednak nowe wątpliwości 25% pytanych nie ma pewności, czy w takim środowisku możliwe jest odzyskanie danych. Taka sama część respondentów ma wątpliwości co do kontroli uprzywilejowanego dostępu na stronie internetowej dostawcy usług. Mimo wszystko zaskakujące jest to, że niewiele organizacji korzystających z usług chmury obliczeniowej stosuje odpowiednią politykę prywatności deklaruje to tylko 17% respondentów. Zagrożenia typu APT (ang. Advanced Persistent Threats) cieszą się zdecydowanie większą uwagą mediów. Ogólny trend wskazuje, że w przyszłości mogą one stanowić dużą część wszystkich zagrożeń. Hakerzy są coraz częściej wskazywani jako potencjalne źródło ataków, dlatego niepokojące wydaje się to, iż tylko 30% pytanych w Polsce wdrożyło zabezpieczenia przeciwko takim zagrożeniom. Dla porównania ponad połowa respondentów ankiety w ujęciu globalnym twierdzi, że stosuje już odpowiednie środki zaradcze.
Przygotowując się na nadchodzące zagrożenia Liderzy dopasowują bezpieczeństwo do specyficznych potrzeb biznesowych, ustalają standardy dla zewnętrznych partnerów oraz zarządzają Dzisiaj potencjalni atakujący wciąż doskonalą swoje umiejętności i możliwości, bezpieczeństwem już od samych jego podstaw. Na przykład aż w 83% dzięki którym mogą wykorzystać coraz więcej wykrytych podatności. Zapobieganie przypadkach, organizacje liderów w Polsce zatrudniają członka zarządu, który aktywnie tym zagrożeniom będzie wymagało od dba o przekazywanie informacji na temat organizacji odpowiedniego podejścia, w tym dopasowania działań i realizowanych znaczenia bezpieczeństwa informacji dla całej organizacji. Ponadto 67% z nich inwestycji oraz wsparcia ich najlepszą dostępną wiedzą użyteczną w otaczającym zadeklarowało, że tworzą ogólnofirmowy zespół, który regularnie spotyka się w celu ich środowisku biznesowym. koordynacji i komunikowania kwestii Tegoroczny raport wskazuje, że organizacje, bezpieczeństwa informacyjnego. które posiadają cechy lidera, częściej Polityki bezpieczeństwa i wsparcie implementują odpowiednie polityki, na mocy których bezpieczeństwo jest włączane kierownictwa to dopiero początek. Miarą prawdziwych intencji może być to, czy do podstawowych celów biznesowych całej przedsiębiorstwa wdrożyły odpowiednie organizacji, a nie tylko pionu IT. technologie, które pozwolą zrealizować te polityki. Zaangażowanie w bezpieczeństwo wyższego kierownictwa i zarządu zapewnia implementację spójnego programu bezpieczeństwa. Wykres 7: Aktualne polityki i środki bezpieczeństwa w polskich organizacjach 67% 75% 83% 81% 83% 78% 83% 83% 58% 38% Ogólnofirmowy zespół Scentralizowane procesy Ogólnofirmowy zespół, który regularnie spotyka się w celu koordynacji i komunikowania kwestii bezpieczeństwa informacyjnego Scentralizowane procesy zarządzania bezpieczeństwem informacji Strategia Strategia bezpieczeństwa bezpieczeństwa informacji dostosowana do specyficznych potrzeb działalności Wszyscy Ustalone minimalne Ustalone minimalne wymogi/standardy bezpieczeństwa dla partnerów zewnętrznych /klientów/dostawców towarów lub usług W organizacji W organizacji jest członek zarządu, który aktywnie dba o przekazywanie informacji na temat znaczenia bezpieczeństwa informacji dla całej organizacji Liderzy Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź. 17
Liderzy zdecydowanie częściej wdrażają narzędzia, dzięki którym mogą analizować podejrzane zdarzenia w czasie rzeczywistym. Na przykład 83% liderów wskazuje, że implementują oni w swoich organizacjach technologie z zakresu monitorowania i zarządzania zdarzeniami (SIEM). Podobna liczba respondentów sklasyfikowanych jako liderzy wskazała, że w ich organizacjach wykorzystuje się narzędzia korelacji zdarzeń dotyczących bezpieczeństwa, przedstawiające ogólny obraz analizy na podstawie danych z wielu źródeł (m.in. skanery podatności czy wykrywania włamań). Narzędzia do skanowania systemów pod kątem luk bezpieczeństwa i podatności są dość często wykorzystywane przez wszystkich respondentów ogółem 67% wskazuje, że posiada takie oprogramowanie. Podczas gdy skupiamy się na działaniach realizowanych przez liderów, musimy pamiętać, że wymienione technologie są bardzo istotnymi elementami dzisiejszych mechanizmów zabezpieczeń i wszystkie organizacje powinny rozważyć ich wprowadzenie. Innym przykładem jest realizacja programu podnoszenia świadomości. Ponad 56% wszystkich badanych wskazało, że prowadzi Mechanizmy bezpieczeństwa, które są priorytetem na najbliższe 12 miesięcy: monitorowanie nieuprawnionego dostępu lub użycia, szyfrowanie smartfonów (np. iphone, BlackBerry, urządzenia z systemem Android), strategia bezpieczeństwa dotycząca korzystania przez pracowników z własnych urządzeń na terenie przedsiębiorstwa, strategia bezpieczeństwa mediów społecznościowych, szkolenia w tym zakresie. Ponieważ coraz więcej ataków dotyczy pracowników (m.in. przy wykorzystaniu socjotechniki), wszystkie organizacje powinny prowadzić taki program, aby uchronić się przed najbardziej podstawowymi zagrożeniami. Aby ocenić priorytety respondentów z Polski w zakresie przygotowań do nowych zagrożeń w przyszłości, przygotowaliśmy listę najważniejszych elementów bezpieczeństwa na najbliższe 12 miesięcy. Część przygotowań dotyczy urządzeń mobilnych, a w szczególności szyfrowania ich zawartości oraz wprowadzenie odpowiednich procedur i standardów bezpieczeństwa. Organizacje planują również wprowadzenie regulacji związanych z mediami społecznościowymi oraz dotyczących korzystania przez pracowników z własnych urządzeń na terenie przedsiębiorstwa. Priorytetem pozostaje również realizacja nowych strategii w zakresie monitorowania i wykrywania incydentów bezpieczeństwa. procedury reagowania na incydenty, także w zakresie zgłaszania przypadków naruszenia zasad do podmiotów zewnętrznych, które mają do czynienia z danymi oraz W obliczu nowych zagrożeń, za przejaw obsługą takich zgłoszeń, dobrych praktyk uznajemy wprowadzenie profilowanie i monitorowanie zachowań, programu szkoleń z zakresu wiedzy o bezpieczeństwie oraz program szkoleń z zakresu wiedzy o bezpieczeństwie, ocenę ryzyka w odniesieniu do zagrożeń przeprowadzanie oceny ryzyka w odniesieniu do wewnętrznych i zewnętrznych dotyczących danych osobowych. Nasze zagrożeń dla prywatności, poufności oraz integralności ewidencji papierowej analizy wskazują, że te obszary aktualnie i elektronicznej zawierającej dane osobowe (np. przez audyt wewnętrzny), mogą stanowić istotną lukę w strategii bezpieczeństwa organizacji, dlatego standardy/procedury dotyczące bezpieczeństwa urządzeń przenośnych, podjęcie odpowiednich inicjatyw może strategia bezpieczeństwa chmury obliczeniowej, w znacznym stopniu zmniejszyć poziom systemy wykrywania i zapobiegania włamaniom (IPS), ryzyka przy jednoczesnym wzroście świadomości istnienia potencjalnych wykrywanie złośliwego oprogramowania w urządzeniach mobilnych. zagrożeń. 18
W ostatnim roku wymiana informacji na temat zagrożeń nawet pomiędzy konkurentami stała się bardzo silną bronią przeciwko potencjalnym atakom. Wierzymy, że współpraca umożliwi organizacjom szybsze dostosowanie się do zmian rynkowych. Zgodnie z wynikami 5 edycji ankiety Annual Digital IQ Survey, przeprowadzanej również przez PwC, firmy, których najwyżsi przedstawiciele ze sobą współpracują, często osiągają lepsze wyniki. Zainteresowaliśmy się, jaka część polskich respondentów, z których wielu działa w silnie konkurencyjnym otoczeniu, decyduje się współpracować, aby poprawiać zabezpieczenia i wymieniać się informacjami o zagrożeniach. Okazało się, że wiele organizacji uważa taką współpracę za korzystną: 52% pytanych stwierdziło, że oficjalnie współpracuje z innymi podmiotami w branży (w tym z konkurencją) na rzecz poprawy bezpieczeństwa i ograniczenia ryzyka w przyszłości, wśród zidentyfikowanych już wcześniej liderów udział ten wynosi 83%. Pod tym względem wyniki uzyskane w Polsce są niemal identyczne jak w raporcie globalnym. Oczywiście warto pamiętać, że wyniki dotyczą firm, które zdecydowały się wziąć udział w badaniu po uwzględnieniu znacząco mniejszej popularności tego rodzaju badań wśród rodzimych przedsiębiorstw uzasadnione jest stwierdzenie, że skłonność do współpracy i wymiany informacji o zagrożeniach pozostaje w Polsce na poziomie znacząco odbiegającym od najlepszych światowych praktyk. Wśród 36% pytanych, którzy nie zadeklarowali współpracy z innymi podmiotami, podstawowym powodem, dla którego rezygnują oni z takiej formy wsparcia, jest brak pewności, czy taka współpraca mogłaby przynieść jakieś bezpośrednie korzyści. W organizacjach często uważa się, że konkurencja nie jest wcale bardziej zaawansowana w tematyce bezpieczeństwa (33% pytanych). Należy jednak pamiętać, że już samo zetknięcie się z różnymi formami zagrożeń może stanowić podstawę do wymiany doświadczeń. Pozostałe powody wskazują raczej na bezpośredni brak zaufania do konkurencji i obawę, że uzyskane informacje mogłyby być wykorzystane przeciwko inicjatorom takich przedsięwzięć. Wykres 8: Dlaczego firmy nie współpracują z konkurencją w celu poprawy bezpieczeństwa? Nie sądzimy, by którykolwiek z konkurentów był Nie sądzimy znacząco bardziej zaawansowany od pozostałych 33% Nie chcemy zwracać uwagi na nasze potencjalne Nie chcemy słabości/podatności na zagrożenia 22% Obawiamy się, że konkurencja mogłaby wykorzystać obawiamy się takie informacje przeciwko nam 22% Uważamy, że większe organizacje, dysponujące uważamy większymi środkami finansowymi, wykorzystałyby taką współpracę dla własnej korzyści 11% Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, którzy wybrali daną odpowiedź. 19
Brak przejrzystości, jeśli chodzi o potencjalne przeszkody wskazuje, że przedstawiciele biznesu nie zaangażowali się wystarczająco w rozmowy dotyczące bezpieczeństwa. Budowanie kultury bezpieczeństwa wymaga pełnego wsparcia najwyższych zarządzających, w tym CEO i zarządu. To musi być nieustająca i żywa dyskusja. Największe przeszkody Większość osób, które zajmują się bezpieczeństwem w organizacji, zgadza się, że należy podjąć nowe działania, które mogłyby polepszyć bezpieczeństwo informacyjne. Istnieje jednak wiele przeszkód ograniczających efektywność wdrożenia nowych mechanizmów bezpieczeństwa. Zapytaliśmy polskich respondentów, które z nich stanowią największą przeszkodę i okazało się, że potencjalne problemy wynikają z wielu różnych obszarów działalności przedsiębiorstwa. Wśród pytanych panuje przekonanie, że osoby z wewnątrz organizacji nie posiadają wystarczająco specjalistycznej wiedzy, aby skutecznie wdrażać nowe praktyki bezpieczeństwa. Dla porównania w globalnej edycja ankiety przeszkoda ta znajduje się dopiero na piątym miejscu. To sugeruje, że w polskich organizacjach może brakować skutecznych programów szkoleń czy certyfikacji. Problem z pozyskaniem funduszy na inicjatywy związane z bezpieczeństwem jest równie poważny. Potwierdza się więc nasz wcześniejszy wniosek, że budżet na bezpieczeństwo jest zbyt mały w porównaniu z ogólnymi nakładami na IT w polskich organizacjach. Pozostali respondenci wskazują również brak odpowiedniej wizji, zgodnie z którą można by określić wpływ przyszłych potrzeb przedsiębiorstwa na strategię rozwoju bezpieczeństwa informacyjnego lub nawet brak samej strategii. Interesujące wydaje się również to, że część z ankietowanych wskazała postawę wyższego kierownictwa jako potencjalną Wykres 9: Największe przeszkody utrudniające poprawę ogólnej efektywności przeszkodę w realizacji skutecznej strategicznej pionu bezpieczeństwa w organizacji strategii bezpieczeństwa. Z globalnego raportu wyłania się ciekawe zjawisko Brak lub niedobór specjalistycznej wiedzy technicznej wewnątrz Brak lub niedobór 42% wynikające z korelacji odpowiedzi organizacji respondentów i zajmowanych przez nich Niewystarczające nakłady Niewystarczające nakłady inwestycyjne 42% stanowisk. Dyrektorzy naczelni (CEO) wskazali swoją postawę jako podstawową Brak przekładalnej na działania wizji lub wiedzy o tym, jak przyszłe Brak przekładalnej 38% przeszkodę realizacji skutecznego planu potrzeby przedsiębiorstwa wpływają na bezpieczeństwo informacji poprawy efektywności strategicznej pionu Niewystarczające Niewystarczające nakłady operacyjne 35% bezpieczeństwa. Dyrektorzy finansowi (CFO) również obwiniają dyrektorów Słabo zintegrowane lub nadmiernie skomplikowane systemy Slabo 27% informatyczne i informacyjne naczelnych. Natomiast CISO, a więc osoby bezpośrednio odpowiedzialne za Brak skutecznej strategii bezpieczeństwa informacji Brak skutecznej 23% bezpieczeństwo w organizacji, wskazują Kierownictwo: członek zarządu/dyrektor ds. informatyki (CIO) lub niewystarczające nakłady inwestycyjne oraz Kierownictwo 15% odpowiednik brak lub niedobór specjalistycznej wiedzy Kierownictwo: dyrektor naczelny (CEO), prezes, zarząd lub ich technicznej wewnątrz organizacji. Dla Kierownictwo: dyrektor 12% odpowiednik dyrektorów ds. informatyki (CIO) Kierownictwo: członek zarządu/dyrektor bezpieczeństwa Kierownictwo:ds. członek zarządu 8% przeszkodą jest brak strategii i wizji oraz informacji (CISO)/bezpieczeństwa (CSO) lub ich odpowiednik sama kadra zarządzająca przede wszystkim dyrektor naczelny i część zarządu Respondenci mogli wskazać wiele odpowiedzi, wykres wskazuje odsetek respondentów, związana bezpośrednio z bezpieczeństwem. którzy wybrali daną odpowiedź. 20
Praktyki bezpieczeństwa Europa a Polska Wyniki raportu globalnego wskazują, że inwestycje w bezpieczeństwo informacyjne w Europie spadły o około 3% w porównaniu z rokiem poprzednim, a tempo wdrażania nowych technik zabezpieczeń jest również opóźnione w stosunku do reszty świata. W Polsce tylko 33% przedstawicieli organizacji deklaruje, że budżet na bezpieczeństwo IT wzrośnie, w porównaniu z 46% wśród respondentów z całej Europy. Wskazuje to na istotne pogorszenie perspektyw rozwoju pionów bezpieczeństwa w polskich organizacjach, a co za tym idzie zwiększone ryzyko wzrostu liczby ataków. Polska nie dotrzymuje również kroku Europie, jeśli chodzi o strukturę organizacyjną. Tylko 36% respondentów wskazało, że ich organizacja zatrudnia członka zarządu bezpośrednio odpowiedzialnego za bezpieczeństwo. Dla porównania w Europie takie rozwiązanie jest stosowane praktycznie dwa razy częściej. Z drugiej strony, polskie przedsiębiorstwa lepiej dbają o definiowanie odpowiednich planów ciągłości działania czy planów odtworzeniowych. Takie podejście wskazało 74% respondentów, co zdecydowanie Tabela 1: Praktyki bezpieczeństwa Europa a Polska Europa Polska Czy budżet na bezpieczeństwo IT wzrośnie w ciągu 12 miesięcy? 46% 33% Istnieje ogólna strategia bezpieczeństwa informacji 77% 75% Spółka zatrudnia członka zarządu/dyrektora ds. bezpieczeństwa informacji (CISO), który odpowiada za program bezpieczeństwa 68% 36% Czy w organizacji jest członek zarządu, który aktywnie dba o przekazywanie informacji na temat znaczenia bezpieczeństwa informacji dla całej organizacji? 51% 57% Plany zapewnienia ciągłości działania/działań odtworzeniowych 45% 75% Wymóg, by podmioty zewnętrzne (w tym zewnętrzni usługodawcy w ramach outsourcingu) przestrzegały firmowej polityki ochrony prywatności 55% 74% Program szkoleń z zakresu wiedzy o bezpieczeństwie 55% 56% Procedury ochrony własności intelektualnej 17% 35% Systemy wykrywania i zapobiegania włamaniom (IPS) 63% 60% Dokładny spis, gdzie gromadzi się, przesyła i przechowuje dane osobowe pracowników i klientów 52% 77% Czy organizacja oficjalnie współpracuje z innymi podmiotami w branży (w tym z konkurencją) na rzecz poprawy bezpieczeństwa i ograniczenia ryzyka w przyszłości? 45% 52% przewyższa średnie dane dla Europy (55%). Podobne zależności można zauważyć w zakresie procedur ochrony własności intelektualnej. Mimo że te elementy polityki bezpieczeństwa nie są jeszcze powszechne w krajach europejskich, wyniki ankiety wśród organizacji w Polsce wskazują na lepszą gotowość do przyjmowania tego rodzaju dobrych praktyk. Jeżeli wydajesz więcej na kawę, niż na bezpieczeństwo, zostaniesz zhakowany. Więcej zasługujesz na to, żeby zostać zhakowanym. Richard Clarke, Doradca ds. cyberbezpieczeństwa, Biały Dom 21
Podsumowanie Jedno jest pewne: stosowane do tej pory podejście nie jest już wystarczające w obliczu coraz szybciej zmieniających się zagrożeń. Wyniki tegorocznej ankiety pokazały niestety utrwalenie zaobserwowanej już wcześniej tendencji z jednej strony nasi respondenci deklarują postęp wdrażając nowe zabezpieczenia, z drugiej nie przywiązują zbytniej wagi do kluczowych aspektów, takich jak np. określenie wartości biznesowej informacji. Deklarują także konieczność większych inwestycji w bezpieczeństwo, równocześnie nie mając nadal strategii dla nowych rozwiązań takich, jak przetwarzanie w chmurze. Biorąc pod uwagę zmieniające się dynamicznie zagrożenia i otoczenie nie dziwi nas, że obranie właściwego kierunku nie jest proste i oczywiste. Jedno jest pewne: stosowane do tej pory podejście nie jest już wystarczające. Nowe ryzyka będą wymagały zupełnie nowego podejścia do bezpieczeństwa informacji. Aby skutecznie odpowiedzieć na zagrożenia przyszłości, w naszej opinii podejście do kwestii bezpieczeństwa informacji musi zostać oparte na dokładnej znajomości przeciwnika, zagrożeń i środowiska. Należy pogodzić się z tym, że incydenty bezpieczeństwa będą występować i muszą być uwzględnione jako jedno z ryzyk biznesowych którego nie można uniknąć, ale może ono zostać ograniczone do akceptowalnego poziomu. 22 Podsumowanie Nasze podejście obejmuje cztery główne elementy: Strategia Selektywność Strategia bezpieczeństwa powinna być integralną częścią strategii biznesowej cyberbezpieczeństwo informacji nie jest już wyłącznie problemem działów IT. Zrozumienie roli i skomplikowania zagadnień związanych z cyberbezpieczeństwem powinno znajdować odzwierciedlenie w strukturze organizacyjnej i wielkości budżetu przeznaczanego na bezpieczeństwo. Świadomość Dobrze przygotowana pod względem bezpieczeństwa firma rozumie ekspozycję na ryzyko oraz potencjalny wpływ biznesowy związany z działaniem w ramach globalnego ekosystemu, jakim są obecnie systemy teleinformatyczne. Świadomość firmy w zakresie cyberbezpieczeństwa oznacza też umiejętność pozyskiwania i analizowania informacji o zagrożeniach, pochodzących z zewnątrz i wewnątrz firmy. Równie istotna jest współpraca z innymi podmiotami w zakresie wymiany tych informacji jedynie w ten sposób firmy mogą wspólnie stawić czoła coraz bardziej zdeterminowanym przeciwnikom. Aby efektywnie zarządzać bezpieczeństwem trzeba zrozumieć, jakie informacje i zasoby są naprawdę istotne dla działania organizacji i na nich skoncentrować wysiłek związany z ochroną. Dzięki temu będzie można ograniczyć wydatki, zapewniając równocześnie właściwy poziom monitorowania i reakcji na incydenty. Responsywność Zabezpieczenia prewencyjne nie dają wystarczającej gwarancji, że informacje i moc przetwarzania systemów nie padną łupem przestępców. Zdolność firmy do zauważenia momentu, kiedy zastosowane zabezpieczenia zostały przełamane i uruchomienia adekwatnej reakcji na incydent są aktualnie jednymi z najważniejszych wyznaczników dojrzałości firmy w zakresie cyberbezpieczeństwa. Szybkość detekcji i reakcji na równi z jakością zabezpieczeń prewencyjnych w realnych warunkach determinują zdolność firmy do ochrony krytycznych zasobów.
Metodyka badań Ankieta Globalny Stan Bezpieczeństwa Informacji 2014 jest światowym przedsięwzięciem PwC, CIO Magazine i CSO Magazine. Została ona przeprowadzona poprzez badanie on-line w dniach od 1 lutego do 1 kwietnia 2013 r. Czytelnicy magazynów CIO i CSO oraz klienci PwC zostali zaproszeni poprzez wiadomości elektroniczne do wzięcia udziału w ankiecie. Światowe wyniki omawiane w niniejszym raporcie opierają się na odpowiedziach od ponad 9600 respondentów, wśród których znaleźli się prezesi, członkowie zarządów firm i organizacji, dyrektorzy i osoby odpowiedzialne za finanse, informatykę, bezpieczeństwo, czy też prywatność ze 115 krajów. Trzydzieści sześć procent (36%) respondentów pochodziło z regionu Ameryki Północnej, 26% z Europy, 21% z Azji i Pacyfiku, 16% z Ameryki Południowej i 2% z Bliskiego Wschodu i Afryki. Margines błędu wynosi mniej niż 1 %. W tym raporcie, dane z globalnego badania zostały porównane z wynikami z ankiety polskiej na zaproszenie skierowane do klientów PwC Polska i czytelników magazynu THINKTANK odpowiedziało dodatkowo ponad 70 firm i organizacji działających w Polsce. Ze względu na ograniczoną liczbę odpowiedzi, obserwacje wynikające z polskiej części mają charakter jakościowy. Głównie reprezentowane wśród polskich respondentów branże to sektor finansowy (bankowość i ubezpieczenia), telekomunikacyjny, usług doradczych, wytwarzania oprogramowania oraz przemysłu. Metodyka badań 23
Nasi eksperci są do Państwa dyspozycji, zarówno w kwestiach dotyczących tego raportu, jak i wszelkich pytań związanych z bezpieczeństwem informacji i systemów teleinformatycznych. Osoby kontaktowe PwC Cyber Security Piotr Urban Partner Lider PwC Risk Assurance K: +48 502 184 157 E: piotr.urban@pl.pwc.com Rafał Jaczyński Lider PwC Cyber Security K: +48 519 507 122 E: rafal.jaczynski@pl.pwc.com Patryk Gęborys K: +48 519 506 760 E: patryk.geborys@pl.pwc.com Rafał Skoczylas K: +48 519 506 661 E: rafal.skoczylas@pl.pwc.com The Global State of Information Security jest znakiem zastrzeżonym International Data Group, Inc. 2013 PricewaterhouseCoopers Sp. z o.o. Wszystkie prawa zastrzeżone. Nazwa PwC odnosi się do firm wchodzących w skład sieci PricewaterhouseCoopers International Limited, z których każda stanowi odrębny i niezależny podmiot prawny. Niniejsza prezentacja została przygotowana wyłącznie w celach ogólnoinformacyjnych i nie stanowi porady w rozumieniu polskich przepisów. Nie powinni Państwo opierać swoich działań/decyzji na treści informacji zawartych w tej prezentacji bez uprzedniego uzyskania profesjonalnej porady. Nie gwarantujemy (w sposób wyraźny, ani dorozumiany) prawidłowości, ani dokładności informacji zawartych w naszej prezentacji. Ponadto, w zakresie przewidzianym przez prawo polskie, PricewaterhouseCoopers Sp. z o.o., jej partnerzy, pracownicy, ani przedstawiciele nie podejmują wobec Państwa żadnych zobowiązań oraz nie przyjmują na siebie żadnej odpowiedzialności ani umownej, ani z żadnego innego tytułu za jakiejkolwiek straty, szkody ani wydatki, które mogą być pośrednim lub bezpośrednim skutkiem działania podjętego na podstawie informacji zawartych w naszej prezentacji lub decyzji podjętych na podstawie tej prezentacji.