Barometr cyberbezpieczeństwa

Podobne dokumenty
Barometr cyberbezpieczeństwa

Bezpieczeństwo technologii mobilnych

2016 Global CEO Outlook

Apetyt na wzrost. Sukcesy i wyzwania eksporterów produktów rolno-spożywczych w Polsce. Kluczowe wnioski. Październik KPMG.pl

Metody ochrony przed zaawansowanymi cyberatakami

Ochrona biznesu w cyfrowej transformacji

KPMG LINK 360. Przejrzystość i kontrola nad procesami podatkowymi. KPMG.pl

Zachowania proekologiczne i poziom zdigitalizowania wśród pracowników biurowych

Brexit co to oznacza dla funduszy europejskich?

Seminarium Polskiej Izby Ubezpieczeń poświęcone problematyce audytu wewnętrznego

Pracownicze Plany Kapitałowe

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

Polski system podatkowy

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Duże firmy obawiają się odpływu pracowników [RAPORT]

ZAMKNIĘCIE ROKU WPŁYW ZMIAN REGULACYJNYCH NA RACHUNKOWOŚĆ I SPRAWOZDAWCZOŚĆ ZAKŁADÓW UBEZPIECZEŃ

PRAWNE I PODATKOWE ASPEKTY PROWADZENIA DZIAŁALNOŚCI W SSE

Seminarium Polskiej Izby Ubezpieczeń poświęcone problematyce audytu wewnętrznego

Wykorzystanie papieru przez pracujących Polaków

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Welcome. to Space4GDPR. Platforma Space4GDPR jest narzędziem dedykowanym. do sprawnego zarządzania ochroną danych osobowych

Inwestycje przedsiębiorstw produkcyjnych działających

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Polski system podatkowy

OBOWIĄZKI AUDYTU WEWNĘTRZNEGO WYNIKAJĄCE Z WYTYCZNYCH KNF ORAZ ROLA AUDYTU WEWNĘTRZNEGO W OCENIE MODELI WEWNĘTRZNYCH I ZARZĄDZANIA RYZYKIEM NADUŻYĆ

Zamknięcie roku wpływ zmian regulacyjnych na rachunkowość i sprawozdawczość zakładów ubezpieczeń. Warszawa, 22 listopada 2016 r.

RAPORT. Cyberzagrożenia według polskich firm. Networking Unified Communication Data Center IaaS Security End to end

Istotne aspekty rozliczeń podatkowych w SSE za rok 2017 i wpływ zmian w 2018 roku na działalność spółek strefowych

DZIAŁALNOŚĆ W SSE ASPEKTY RACHUNKOWE, PODATKOWE I POMOC PUBLICZNA

Newsletter podatkowy dla branży meblarskiej

WARMIŃSKO-MAZURSKA SPECJALNA STREFA EKONOMICZNA S.A. ORAZ FIRMA DORADCZA KPMG MAJĄ PRZYJEMNOŚĆ ZAPROSIĆ PAŃSTWA NA SEMINARIUM:

epolska XX lat później Daniel Grabski Paweł Walczak

Reforma ochrony danych osobowych RODO/GDPR

Aspekty prowadzenia działalności gospodarczej w specjalnej strefie ekonomicznej oraz pomocy publicznej dla przedsiębiorców na lata kpmg.

Jak uchronić Twój biznes przed cyberprzestępczością

Trudne czasy dla polskiego budownictwa

Prezentacja raportu z badania nadużyć w sektorze finansowym

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Wsparcie dla działalności innowacyjnej narzędzia podatkowe

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Roczne zeznania podatkowe Polaków PIT 2018 VIII Edycja

Budownictwo w Polsce.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Kryteria oceny Systemu Kontroli Zarządczej

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Corporate governance wpływ na efektywność i minimalizację ryzyka procesów biznesowych

Prelegent : Krzysztof Struk Stanowisko: Analityk

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

Funkcja audytu wewnętrznego w świetle projektu nowej ustawy o działalności ubezpieczeniowej oraz wytycznych KNF

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Firmy rodzinne chcą zwiększać zyski i zatrudniać nowych pracowników [RAPORT]

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

SZCZEGÓŁOWY HARMONOGRAM KURSU

Wartość audytu wewnętrznego dla organizacji. Warszawa,

Roczne zeznania podatkowe Polaków PIT 2017 VII Edycja

B U R E A U V E R I T A S P O L S K A S P. Z O. O. RODO PO ROKU P D P / I S M & B C M T E A M L E A D E R

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Wykorzystanie papieru w przedsiębiorstwach działających w Polsce

Wykorzystanie papieru w przedsiębiorstwach działających w Polsce

Wartość (mld zł) i dynamika wzorstu (%) rynku IT w Polsce w latach ,9 16,5% 12,2% P

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

CYBER GUARD PRZEWODNIK PO PRODUKCIE

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

Działalność w SSE aspekty rachunkowe, podatkowe i pomoc publiczna

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Banku Spółdzielczym w Brodnicy

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Aviation Cyber Security. Cyberbezpieczeństwo w lotnictwie Szkolenie Międzynarodowego Stowarzyszenia Przewoźników Lotniczych IATA

Wdrożenie Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 w ZGiUK Sp. z o.o. w Lubaniu

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa

ASPEKTY PROWADZENIA DZIAŁALNOŚCI GOSPODARCZEJ W SPECJALNEJ STREFIE EKONOMICZNEJ ORAZ POMOCY PUBLICZNEJ DLA PRZEDSIĘBIORCÓW NA LATA

Agenda. Quo vadis, security? Artur Maj, Prevenity

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

Bezpieczeństwo systemów SCADA oraz AMI

Maciej Byczkowski ENSI 2017 ENSI 2017

Rynek NewConnect Skuteczne źródło finansowania

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Zagadnienia główne: Typy zagrożeń w sieci Ataki typu APT advanced persistent threat Wirusy, konie trojańskie, robaki Sposoby obrony

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH. Przygotuj swoją firmę do zmian już dziś

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Bezpieczeństwo dziś i jutro Security InsideOut

CYBER-BEZPIECZEŃSTWO ZAGROŻENIA - DETEKCJA - PROFILATKTYKA - ZABEZPIECZENIA - PREWENCJA

RAPORT. z wykonania projektu w ramach Programu Operacyjnego Kapitał Ludzki

ISO w Banku Spółdzielczym - od decyzji do realizacji

2016 CONSULTING DLA MŚP. Badanie zapotrzebowania na usługi doradcze

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Rewolucyjne zmiany dotyczące kontroli podatników - od 1 lipca 2016 r. Jednolity Plik Kontrolny

Transkrypt:

Barometr cyberbezpieczeństwa Cyberatak zjawiskiem powszechnym Styczeń 2018 KPMG.pl

2 Barometr cyberbezpieczeństwa

Szanowni Państwo Zachęcamy do zapoznania się z wynikami badania KPMG Barometr cyberbezpieczeństwa diagnozującego bieżące trendy i podejście polskich przedsiębiorstw w zakresie ochrony przed cyberprzestępczością. W badaniu wzięło udział ponad 100 małych, średnich i dużych polskich firm, reprezentowanych przez osoby odpowiedzialne za zapewnienie bezpieczeństwa informacji. Patrząc na skalę odnotowanych w Polsce w 2017 roku cyberataków, obejmujących m.in. ataki ukierunkowane na sektor bankowy, czy światowej skali kampanie ransomware, nie dziwi fakt, że niemal każda polska firma została dotknięta przez cyberprzestępczość. Wyniki raportu jednoznacznie wskazują, że firmy odnotowały wzrost skali cyberzagrożeń. Polskie przedsiębiorstwa najbardziej obawiają się zorganizowanej cyberprzestępczości. W szczególności trudnych do zidentyfikowania i odparcia ataków ukierunkowanych, cyberprzestępstw realizowanych za pośrednictwem złośliwego oprogramowania oraz wspieranych przez socjotechnikę. Własny pracownik, który historycznie stanowił dla firm najczęstsze źródło naruszeń bezpieczeństwa, zszedł na drugi plan. Ciekawym wynikiem badania jest wysoki optymizm polskich przedsiębiorstw w kwestii oceny dojrzałości wdrożonych zabezpieczeń. Z perspektywy doświadczeń KPMG z realizowanych audytów bezpieczeństwa, wydaje się, że tak wysoka samoocena, może niestety po części wynikać z wciąż niedostatecznej świadomości polskich firm w zakresie skali i złożoności dzisiejszych cyberzagrożeń. Pozytywnym natomiast sygnałem jest fakt, że firmy inwestują w mechanizmy bezpieczeństwa pozwalające na wczesną identyfikację i reakcję na cyberatak, co jest zgodne z globalnym podejściem w zakresie cyberbezpieczeństwa, zakładającym, że cyberatak jest dziś zjawiskiem nieuchronnym i należy się na niego przygotować. Biorąc pod uwagę szczególny okres, w którym przeprowadziliśmy badanie, zapytaliśmy polskie firmy o status przygotowań do zgodności z nowymi regulacjami w zakresie ochrony danych osobowych (RODO). Jedynie co czwarta firma deklaruje zgodność, natomiast aż 38% przedsiębiorstw nie rozpoczęło jeszcze żadnych działań w tym zakresie. Biorąc pod uwagę liczbę zmian, które muszą zostać wdrożone zgodnie z nowymi przepisami, istnieje duże ryzyko, że większość przedsiębiorstw w Polsce nie dopełni wszystkich wymogów formalnych do 25 maja 2018 roku, narażając się tym samym na istotne konsekwencje finansowe. Pozostaje nam życzyć Państwu przyjemnej lektury oraz wielu przemyśleń i inspiracji, które przyczynią się do wzrostu bezpieczeństwa w Państwa organizacjach. Michał Kurek Partner KPMG, Szef zespołu ds. cyberbezpieczeństwa Krzysztof Radziwon Partner KPMG, Szef zespołu ds. zarządzania ryzykiem Barometr cyberbezpieczeństwa 3

Najważniejsze wnioski Cyberataki są zjawiskiem powszechnym wśród firm działających w Polsce. 82% przedsiębiorstw odnotowało przynajmniej jeden cyberincydent w 2017 roku. 37% firm odnotowało wzrost liczby cyberataków w przeciągu ostatniego roku (podczas gdy spadek stwierdziło tylko 5%). Zorganizowane grupy cyberprzestępcze (dla 62% respondentów) i pojedynczy hakerzy (dla 61% firm) są najczęstszymi źródłami ataków. Dopiero na trzecim miejscu znalazł się niezadowolony lub podkupiony pracownik, który historycznie był najbardziej istotnym źródłem. Najgroźniejsze cyberzagrożenia dla firm to: malware (APT, wycieki danych, ransomware), czynnik ludzki (kradzież danych przez pracowników, phishing) i ataki na aplikacje. Większość firm optymistycznie ocenia dojrzałość stosowanych zabezpieczeń, czego powodem może być m.in. niedoszacowanie ryzyka. Blisko połowa firm wykorzystuje outsourcing usług bezpieczeństwa w zakresie wsparcia w reakcji na występienie cyberataku. Dla 49% firm zatrudnienie i utrzymanie wykwalifikowanych pracowników jest największym wyzwaniem w zakresie uzyskania oczekiwanego poziomu zabezpieczeń, istotniejszym nawet niż niewystarczający budżet (47% respondentów). Łącznie aż 38% firm nie realizuje żadnych działań lub nie rozpoczęło analizy luk weryfikującej zgodność z wymogami RODO. 4 Barometr cyberbezpieczeństwa

Skala cyberataków na firmy w Polsce 37% firm w Polsce zadeklarowało wzrost lub znaczący wzrost liczby cyberataków, podczas gdy tylko 5% odnotowało spadek. Jedynie 18% firm nie odnotowało w 2017 roku żadnego cyberataku. W 2017 roku liczba zaobserwowanych w organizacji prób cyberataków, w porównaniu z poprzednim rokiem: 7% 4% 1% 13% 51% 24% znacząco wzrosła (o więcej niż 25%) wzrosła pozostała na podobnym poziomie zmalała znacząco zmalała (o więcej niż 25%) nie wiem/trudno powiedzieć Liczba zarejestrowanych przez firmy incydentów bezpieczeństwa w 2017 roku wyniosła: 7% 22% 26% 27% 18% nie wiem / trudno powiedzieć 10 lub więcej 4-9 1-3 0 Barometr cyberbezpieczeństwa 5

Źródła cyberzagrożeń Szeroko rozumiana cyberprzestępczość stanowi najistotniejsze źródło zagrożeń dla największego odsetka firm w Polsce. Niezadowolony lub podkupiony pracownik, który przed kilkoma laty był problemem nr 1, schodzi na drugi plan. Które z poniższych grup lub osób stanowią realne zagrożenie dla firm? Cyberprzestępczość Niezadowoleni lub podkupieni pracownicy Grupy wspierane przez obce państwa Inne Nie wiem/ trudno powiedzieć 33% 9% 6% 56% 84% Cyberterroryzm to kolejne z najistotniejszych źródeł zagrożeń. Częściej obawiają się go firmy o obrotach powyżej 100 mln zł (57%) niż organizacje generujące mniejsze obroty (35%). Cyberprzestępczość 47% Cyberterroryści 61% 62% Zorganizowane grupy cyberprzestępcze Pojedynczy hakerzy 30% Script kiddies (tzw. skryptowe dzieciaki) 20% Haktywiści 6 Barometr cyberbezpieczeństwa

Największe cyberzagrożenia Ankietowane firmy najbardziej obawiają się złośliwego oprogramowania (stosowanego do ataków ukierunkowanych APT, kradzieży danych czy wymuszania okupu), słabości czynnika ludzkiego (phishing, kradzież danych przez pracowników) oraz ataków na aplikacje. Najmniejsze obawy respondentów budzą ataki typu odmowa usługi (DoS/DDoS) czy kradzież danych na skutek naruszenia bezpieczeństwa fizycznego. Należy jednak zachować ostrożność, ponieważ mniejsze obawy w tym zakresie mogą oznaczać niedoszacowanie ryzyka przez respondentów. Które z poniższych cyberzagrożeń stanowią największe ryzyko dla organizacji? Zaawansowane ukierunkowane ataki (tzw. Advanced Persistent Threat APT) Wycieki danych za pośrednictwem złośliwego oprogramowania (malware) 34% 37% 21% 8% 23% 46% 27% 4% Kradzież danych przez pracowników 22% 41% 33% 4% Ogólne kampanie ransomware 23% 44% 23% 10% Wyłudzanie danych uwierzytelniających (phishing) 11% 49% 37% 3% Ataki wykorzystujące błędy w aplikacjach 9% 43% 42% 6% Wyciek danych w wyniku kradzieży lub zgubienia nośników lub urządzeń mobilnych 6% 41% 43% 10% Ataki na sieci bezprzewodowe 7% 35% 38% 20% Podsłuchiwanie ruchu i ataki Man-in-the-Middle (MitM) 6% 27% 51% 16% Włamania do urządzeń mobilnych 5% 31% 44% 20% Kradzież danych na skutek naruszenia bezpieczeństwa fizycznego 5% 27% 51% 17% Ataki typu odmowa usługi (DoS/DDoS) 2% 32% 50% 16% 5 najwyższe ryzyko 3-4 1-2 0 brak ryzyka Barometr cyberbezpieczeństwa 7

Dojrzałość obszarów zabezpieczeń Jak firmy oceniają dojrzałość poszczególnych obszarów zabezpieczeń w swoich organizacjach? Ochrona przed złośliwym oprogramowaniem 26% 72% 2% Bezpieczeństwo styku z siecią Internet 34% 61% 3%2% Zarządzanie tożsamością i dostępem 32% 64% 4% Reagowanie na incydenty bezpieczeństwa 31% 63% 6% Bezpieczeństwo sieci wewnętrznej (segmentacja, kontrola dostępu) 43% 45% 12% Plany zapewnienia ciągłości działania 29% 61% 9% 1% Monitorowanie bezpieczeństwa 22% 70% 7% 1% Ochrona przed wyciekami danych (tzw. Data Leakage Prevention - DLP) 14% 69% 16% 1% Zarządzanie podatnościami 11% 66% 21% 2% Programy podnoszenia świadomości pracowników w zakresie bezpieczeństwa 12% 58% 25% 5% Klasyfikacja i kontrola aktywów 10% 62% 19% 9% Zarządzanie bezpieczeństwem urządzeń mobilnych (technologie MDM) 15% 50% 25% 10% Zarządzanie bezpieczeństwem partnerów biznesowych 11% 57% 21% 11% Bezpieczeństwo w procesach wytwarzania oprogramowania 16% 54% 9% 21% 5 pełna dojrzałość 3-4 1-2 0 brak zabezpieczeń 1 Analizując ocenę dojrzałości i skłonność do inwestycji polskich firm w zabezpieczenia alarmujące jest podejście do włączania bezpieczeństwa w procesy wytwarzania aplikacji. Jest to obszar najmniej dojrzały i wygląda na to, że sytuacja nie ulegnie poprawie. Czy dziurawe aplikacje nadal będą zjawiskiem powszechnym? 2 Niepokoi także niska skłonność do inwestycji w zarządzanie bezpieczeństwem u partnerów biznesowych. Obszar ten staje się szczególnie istotny w świetle nowych regulacji w zakresie ochrony danych osobowych. 3 Trzecim z niewystarczająco rozwijanych obszarów zabezpieczeń jest klasyfikacja i kontrola aktywów, który w obliczu niewystarczających zasobów staje się jednym z podstawowych elementów skutecznego systemu zarządzania bezpieczeństwem. 8 Barometr cyberbezpieczeństwa

Planowane inwestycje w obszary zabezpieczeń Reagowanie na incydenty bezpieczeństwa 18% 51% 17% 14% Ochrona przed złośliwym oprogramowaniem 20% 45% 20% 15% Monitorowanie bezpieczeństwa 15% 53% 20% 12% Bezpieczeństwo styku z siecią Internet 22% 39% 19% 20% Plany zapewnienia ciągłości działania 21% 43% 18% 18% Ochrona przed wyciekami danych (tzw. Data Leakage Prevention - DLP) 15% 45% 22% 18% Programy podnoszenia świadomości pracowników w zakresie bezpieczeństwa 12% 41% 31% 16% Bezpieczeństwo sieci wewnętrznej (segmentacja, kontrola dostępu) 12% 48% 16% 24% Zarządzanie podatnościami 8% 40% 31% 21% Zarządzanie bezpieczeństwem urządzeń mobilnych (technologie MDM) 7% 39% 31% 23% Zarządzanie tożsamością i dostępem 11% 31% 33% 25% Klasyfikacja i kontrola aktywów 8% 27% 33% 32% Bezpieczeństwo w procesach wytwarzania oprogramowania 5% 33% 23% 39% Zarządzanie bezpieczeństwem partnerów biznesowych 7% 28% 26% 39% 5 znaczące inwestycje 3-4 1-2 0 brak inwestycji 4 5 6 Warto zwrócić również uwagę na podejście do podnoszenia świadomości użytkowników w zakresie cyberbezpieczeństwa oraz do ochrony urządzeń mobilnych, które w obliczu obserwowanych zmian w sposobie działania cyberprzestępców będą nabierały znaczenia. Niepokoi również relatywnie niska dojrzałość obszaru zarządzania podatnościami, który jest krytycznym elementem systemu zabezpieczeń. Pozytywnym natomiast sygnałem jest fakt, że firmy inwestują w monitorowanie bezpieczeństwa i reagowanie na cyberataki, co jest zgodne z globalnym podejściem w zakresie cyberbezpieczeństwa, zakładającym, że cyberatak jest zjawiskiem nieuchronnym i należy się na niego przygotować. Barometr cyberbezpieczeństwa 9

Obszary zabezpieczeń dojrzałość a planowane inwestycje Skłonność do inwestycji niska średnia niska Ocena dojrzałości zabezpieczeń wysoka Obszary mniej dojrzałe, zagrożone ryzykiem niedofinansowania Obszary mniej dojrzałe, niskobudżetowe Obszary dojrzałe, niskobudżetowe Obszary dojrzałe, o średnim budżecie Klasyfikacja i kontrola aktywów Ochrona przed wyciekami danych Bezpieczeństwo sieci wewnętrznej Reagowanie na incydenty bezpieczeństwa Zarządzanie bezpieczeństwem partnerów biznesowych Zarządzanie podatnościami Zarządzanie tożsamością i dostępem Ochrona przed złośliwym oprogramowaniem Bezpieczeństwo w procesach wytwarzania oprogramowania Programy podnoszenia świadomości pracowników w zakresie bezpieczeństwa Monitorowanie bezpieczeństwa Zarządzanie bezpieczeństwem urządzeń mobilnych Plany zapewnienia ciągłości działania Bezpieczeństwo styku z siecią Internet 10 Barometr cyberbezpieczeństwa

Odpowiedzialność za obszar bezpieczeństwa informacji Wiele jest do zrobienia w kwestii organizacji bezpieczeństwa. Jedynie co dziesiąta firma posiada dedykowaną do tego jednostkę organizacyjną. Do kogo w organizacji przypisana jest odpowiedzialność za obszar bezpieczeństwa informacji? 13% 40% 47% Dyrektor IT (CIO) lub dedykowany pracownik w strukturach IT Inne stanowisko Brak formalnego przypisania odpowiedzialności Prezes zarządu (CEO) Niezależna dedykowana funkcja (CSO/CISO) Inne stanowisko w organizacji niż powyższe 11% 11% 11% Odpowiedzialność przypisana w strukturach globalnych poza Polską 7% Barometr cyberbezpieczeństwa 11

Co blokuje firmy w budowaniu cyberbezpieczeństwa? Brak wykwalifikowanych pracowników okazał się najważniejszym problemem dla firm przy budowaniu cyberbezpieczeństwa. Istotniejszym nawet od niewystarczających budżetów, które są zwykle czołowym wyzwaniem. Firmy skarżą się również na brak dobrze zdefiniowanych mierników, co wskazuje na rosnącą potrzebę monitorowania poziomu faktycznie uzyskiwanego bezpieczeństwa. Jakie są główne ograniczenia w możliwości uzyskania oczekiwanego poziomu zabezpieczeń w firmach? 49% 47% 46% Trudności w zatrudnieniu i utrzymaniu wykwalifikowanych pracowników Brak wystarczających budżetów Brak dobrze zdefiniowanych mierników 26% 25% 17% Brak właściwego przypisania odpowiedzialności w zakresie bezpieczeństwa Brak zaangażowania biznesu Brak wsparcia najwyższego kierownictwa 15% 14% Inne Nie wiem/trudno powiedzieć Brak właściwie przypisanej odpowiedzialności w zakresie bezpieczeństwa był częściej wskazywany przez małe firmy (55%) niż większe (17%) 12 Barometr cyberbezpieczeństwa

Outsourcing cyberbezpieczeństwa sposobem na problemy kadrowe 71% badanych firm korzysta z outsourcingu w zakresie usług bezpieczeństwa. Z usług zewnętrznego dostawcy częściej korzystają firmy z kapitałem zagranicznym (86%) niż organizacje z polskim kapitałem (66%). Które z poniższych funkcji lub procesów bezpieczeństwa są realizowane przez dostawców (outsourcing)? Korzystanie z outsourcingu 29% 71% przez firmy z polskim kapitałem 34% 66% Funkcje / procesy bezpieczeństwa realizowane przez dostawców 49% Wsparcie w reakcji na cyberataki 38% Programy podnoszenia świadomości pracowników w zakresie bezpieczeństwa 38% Testy podatności infrastruktury 37% Monitorowanie bezpieczeństwa 33% Analiza złośliwego oprogramowania przez firmy kapitałem zagranicznym 14% 86% tak nie 31% Testy penetracyjne aplikacji 30% Przeglądy kodu źródłowego 29% Żadne z powyższych Barometr cyberbezpieczeństwa 13

Status przygotowań do zapewnienia zgodności z wymogami RODO Dla znaczącej większości polskich firm (76%) istnieje realne ryzyko braku pełnej zgodności z RODO przed dniem jego obowiązywania. Jak firmy oceniają status przygotowań do zapewnienia zgodności z wymogami RODO? Pełna zgodność potwierdzona niezależnym audytem Pełna zgodność na podstawie oceny wewnętrznej Przeprowadzona analiza luk oraz opracowany i wdrażany plan uzyskania zgodności, która nastąpi przed 25 maja 2018 r Przeprowadzona analiza luk oraz opracowany i wdrażany plan uzyskania zgodności, która nastąpi po 25 maja 2018 r Zaplanowane zostało przeprowadzenie analizy luk z wymogami RODO Nie są realizowane jakiekolwiek działania w tym zakresie Nie wiem/trudno powiedzieć 9% 15% 5% 12% 5% 28% 26% Status przygotowań do RODO 5% po wdrożeniu po analizie luk przed analizą luk brak działań 26% 12% 24% 33% nie wiem/ trudno powiedzieć 14 Barometr cyberbezpieczeństwa

Wdrożone rozwiązania zgodne z wymogami RODO Które z poniższych rozwiązań zostały już w pełni wdrożone w organizacjach w celu zapewnienia zgodności z RODO? Ograniczenie przetwarzania danych osobowych wyłącznie do minimum wynikającego z celów przetwarzania Udokumentowana inwentaryzacja danych osobowych Przypisanie odpowiedzialności za ochronę danych osobowych (rola Inspektora Ochrony Danych) Wdrożenie programu szkoleń podnoszących świadomość w zakresie ochrony danych osobowych Analiza ryzyka i wdrożenie wymaganych zabezpieczeń technicznych i procesowych dla systemów przetwarzających dane osobowe Spełnienie wymagań RODO w zakresie zgromadzenia zgód i spełnienia wymogów informacyjnych Włączenie wymogów dla ochrony danych osobowych w proces projektowania nowych systemów informatycznych Monitorowanie zgodności stron trzecich przetwarzających dane osobowe organizacji z jej polityką prywatności Wdrożenie mechanizmów regularnej weryfikacji skuteczności zabezpieczeń technicznych i procesowych dla systemów przetwarzających dane osobowe Wdrożenie procesu informowania organu nadzorczego o naruszeniach bezpieczeństwa danych osobowych w przeciągu 72 godzin od ich identyfikacji Wdrożenie mechanizmów zapewniających obsługę wniosków klientów o wgląd do jego danych osobowych, usunięcie ich lub przeniesienie Wdrożenie procesu oceny skutków dla ochrony danych (DPIA Data Protection Impact Assessment) Wdrożenie dedykowanego systemu do wsparcia procesu zarządzania danymi osobowymi 37% 34% 34% 32% 31% 25% 49% 48% 47% 47% 69% 62% 59% Barometr cyberbezpieczeństwa 15

Informacje o badaniu Wielkość firm wg liczby zatrudnionych 11% małe (max 49 osób) 51% średnie (50-249 osób) 38% duże (pow. 250 osób) Badanie zostało zrealizowane metodą wywiadów telefonicznych CATI wśród osób odpowiedzialnych za bezpieczeństwo IT w firmach (członków zarządu, dyrektorów ds. bezpieczeństwa, prezesów, dyrektorów IT lub innych osób odpowiedzialnych za ten obszar). Badanie zostało zrealizowane na próbie 101 organizacji na przełomie listopada i grudnia 2017 roku przez firmę Norstat Polska. Roczne przychody firm Pochodzenie kapitału 28% 72%. polskie zagraniczne 16 Barometr cyberbezpieczeństwa

Usługi KPMG w zakresie cyberbezpieczeństwa Zespół Cyberbezpieczeństwa KPMG świadczy szeroki zakres usług, podchodzący w kompleksowy sposób do ochrony informacji. Wspiera firmy w zabezpieczeniu infrastruktury, aplikacji oraz zadbaniu o czynnik ludzki, czyli właściwą organizację, procesy oraz wiedzę pracowników w zakresie ochrony informacji. Pomaga firmom zarówno w przygotowaniu się na odparcie cyberataku, jak również w podjęciu właściwych działań, gdy cyberatak już nastąpił. Ochrona danych osobowych Podnoszenie świadomości w zakresie bezpieczeństwa Optymalizacja cyberbezpieczeństwa Zapewnienie ciągłości działania Ludzie Zarządzanie dostępem i tożsamością Wsparcie w reakcji na cyberatak Informatyka śledcza i analiza złośliwego oprogramowania Infrastruktura IT OT / IoT Aplikacje Bezpieczeństwo w procesach SDLC Modelowanie zagrożeń Testy penetracyjne infrastruktury (tzw. Red Teaming) Testy penetracyjne aplikacji Utwardzanie infrastruktury IT Architektura systemów bezpieczeństwa Przeglądy kodu źródłowego Barometr cyberbezpieczeństwa 17

Wybrane publikacje KPMG w Polsce i na świecie Cyberbezpieczeństwo wyzwanie współczesnego prezesa Life science innovation and cyber security: Inseparable Cyber security for the fourth industrial revolution Embracing the cyber insurance opportunity Transforming companies must put cyber security front and center Clarity on Cyber Security 18 Barometr cyberbezpieczeństwa

Kontakt KPMG w Polsce ul. Inflancka 4A 00-189 Warszawa T: +48 22 528 11 00 F: +48 22 528 10 09 E: kpmg@kpmg.pl Michał Kurek Usługi doradcze Cyberbezpieczeństwo Partner E: michalkurek@kpmg.pl Krzysztof Radziwon Usługi doradcze Zarządzanie Ryzykiem Partner E: kradziwon@kpmg.pl Magdalena Maruszczak Marketing i Komunikacja Dyrektor E: mmaruszczak@kpmg.pl KPMG.pl Biura KPMG w Polsce Warszawa ul. Inflancka 4A 00-189 Warszawa T: +48 22 528 11 00 F: +48 22 528 10 09 E: kpmg@kpmg.pl Kraków ul. Opolska 114 31-323 Kraków T: +48 12 424 94 00 F: +48 12 424 94 01 E: krakow@kpmg.pl Poznań ul. Roosevelta 22 60-829 Poznań T: +48 61 845 46 00 F: +48 61 845 46 01 E: poznan@kpmg.pl Wrocław ul. Szczytnicka 11 50-382 Wrocław T: +48 71 370 49 00 F: +48 71 370 49 01 E: wroclaw@kpmg.pl Gdańsk al. Zwycięstwa 13a 80-219 Gdańsk T: +48 58 772 95 00 F: +48 58 772 95 01 E: gdansk@kpmg.pl Katowice ul. Francuska 34 40-028 Katowice T: +48 32 778 88 00 F: +48 32 778 88 10 E: katowice@kpmg.pl Łódź al. Piłsudskiego 22 90-051 Łódź T: +48 42 232 77 00 F: +48 42 232 77 01 E: lodz@kpmg.pl 2018 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative ( KPMG International ), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres