Securitatea informatiilor din companii, amenintata de noile tehnologii

Securitatea informatiilor din companii, amenintata de noile tehnologii securitateinformatiicompaniiernst & youngsecuritatemanageri

Organizatiile trebuie sa isi schimbe radical abordarea fata de securitatea informatiilor pentru a putea raspunde amenintarilor reprezentate de noile tehnologii, potrivit raportului Ernst & Young - Global Information Security Survey 2012, publicat astazi. Raportul, aflat la a 15-a editie anuala, reprezinta una dintre cele mai complete studii in domeniu si se bazeaza pe raspunsurile a peste 1.850 de CIO (manageri IT), CISO (manageri de securitate a informatiei) si alti directori de securitate a informatiei din 64 de tari.
Organizatiile recunosc faptul ca mediul de risc se schimba continuu, pe masura ce se intensifica frecventa si natura amenintarilor de securitate a informatiilor iar numarul incidentelor de securitate creste. Peste trei sferturi (77%) dintre respondenti afirma ca exista o crestere a riscului de atacuri externe, iar acesta nu este singura sursa de ingrijorare pentru organizatiile globale, un procent de 46% raportand ca vulnerabilitatile interne sunt si ele in crestere.

Organizatiile iau masuri tot mai complexe pentru a-si imbunatati  sistemele de securitate a informatiei, astfel incat acestea sa aiba capacitatea de a oferi solutii pe termen scurt - fara a bloca mecanismele structurii generale a sistemului de securitate a informatiilor. Cu un procent de 31% de respondenti care se confrunta cu un numar tot mai mare de incidente de securitate in ultimii doi ani, necesitatea de a dezvolta o arhitectura de securitate solida nu a fost niciodata mai stringenta. Cu toate acestea, 63% dintre organizatii nu dispun de asa ceva si doar 16% dintre respondenti declara ca functia de securitate a informatiilor satisface pe deplin nevoile organizatiei.

Noile tehnologii deschid oportunitati extraordinare pentru organizatii dar, in acelasi timp, si potentiale amenintari provenite din surse necunoscute anterior. Cloud computing continua sa fie unul dintre principalele motoare ale inovarii modelului de afaceri, numarul organizatiilor care utilizeaza aceasta tehnologie aproape dublandu-se in ultimii doi ani. Cu toate acestea, 38% dintre organizatii nu au luat nicio masura de atenuare a riscurilor, cum ar fi supravegherea mai atenta a procesului de management al contractelor pentru furnizorii de cloud computing sau utilizarea unor tehnici de criptare.

La noul context informational, cu riscuri multiple si noi tehnologii de securitate, organizatiile raspund prin marirea bugetelor si ajustarea prioritatilor. 51% dintre organizatii au afirmat ca intentioneaza sa mareasca bugetul cu mai mult de 5% in urmatoarele 12 luni. Cu toate ca 32% dintre respondenti au cheltuit peste 1 milion de USD pentru securitatea informatiilor, nivelul investitiilor variaza la nivel global. In ceea ce priveste alocarea bugetului, in topul prioritatilor de investitii se afla asigurarea de noi tehnologii (55%) si continuitatea afacerilor (47%).

Cresterile de buget planificate pot fi eficiente numai daca factorii de decizie potriviti isi asuma responsabilitatea. Securitatea informatiilor continua sa fie condusa de IT in multe organizatii; 63% dintre respondenti au indicat faptul ca organizatiile lor au plasat responsabilitatea pentru securitatea informatiilor in mainile functiei de IT.

Cu toate acestea, pe masura ce necesitatea securitatii informatiilor incepe sa se extinda dincolo de sfera traditionala de IT, deciziile trebuie sa se concentreze si ele pe selectarea  instrumentelor potrivite, pe definirea corecta a proceselor si metodelor de monitorizare a riscurilor, calibrand performanta si identificand lacunele de acoperire. Astfel, devine necesara o reevaluare a responsabilitatilor.

In prezent, securitatea informatiilor este asigurata in doar 5% din cazuri de manageri de risc, ceea ce inseamna ca multe organizatii nu dispun de un mecanism formal de evaluare a riscurilor furnizat de functia de risc. Astfel, 52% dintre organizatii nu au dezvoltat inca un program de gestionare a riscurilor. Potentialele riscuri si accelerarea decalajului dintre vulnerabilitate si securitate obliga companiile sa aiba in vedere mai multe surse de evaluare, cum ar fi auditul intern, autoevaluari interne si evaluarile de la terti pentru a monitoriza si evalua incidentele de securitate a informatiei.