Światowe Badanie dotyczące Bezpieczeństwa - EY
Transkrypt
Światowe Badanie dotyczące Bezpieczeństwa - EY
D ZIA¸ Z ARZÑDZANIA R YZYKIEM I NFORMATYCZNYM Światowe Badanie dotyczące Bezpieczeństwa Informacji 2004 Wyniki dotyczące Polski W YNIKI DOTYCZÑCE P OLSKI Wstęp Przedstawiamy Państwu streszczenie wyników Światowego Badania Bezpieczeństwa Informacji, przeprowadzonego przez firmę Ernst & Young. Jest to już siódma edycja tego badania na świecie i druga w Polsce. Wzięli w nim udział dyrektorzy działów informatycznych, departamentów bezpieczeństwa oraz inni przedstawiciele wyższej kadry kierowniczej z ponad 1 230 przedsiębiorstw z 51 państw. „Poznaj wroga i poznaj siebie – nie będziesz musiał martwić się o wyniki setek bitew. Jeżeli nie znasz przeciwnika, ale znasz siebie, szansa na zwycięstwo jest równa szansie na przegraną. Jeśli nie znasz ani siebie ani swojego przeciwnika bądź pewny przegranej w każdej bitwie.” Sun Tzu „Sztuka Wojny” W Polsce w badaniu uczestniczyły 44 największe przedsiębiorstwa, reprezentujące różne branże, między innymi: bankowość i finanse, handel detaliczny, telekomunikację, ubezpieczenia, przemysł naftowy i petrochemiczny oraz informatykę. Prawie 70% z nich zatrudnia ponad 1 000 pracowników, a co trzecie oferuje swoje usługi na rynku międzynarodowym. Prezentowane obok wykresy obrazują szczegółowo strukturę ankietowanych przedsiębiorstw. „Sztuka Wojny” Sun Tzu, napisana około 27 wieków temu, doskonale obrazuje wysiłki podejmowane przez organizacje zmierzające do zapewnienia bezpieczeństwa informacji. 2  WIATOWE B ADANIE DOTYCZÑCE B EZPIECZE¡STWA I NFORMACJI 2004 Uczestnicy badania Według przychodu 50 Polska 45% Âwiat 40 32% 28% 30 21% 19% 20 14% 11% 10 11% 10% 9% 0 Poni˝ej 100 mln $ 100 mln $ – 1mld $ 1 mld $ – 10 mld $ Ponad 10 mld $ Non Profit Według branży 16% 15% BankowoÊç 11% Handel hurtowy, dystrybucja 3% W∏adze paƒstwowe lub samorzàdowe, organizacja wojskowa Dostawca us∏ug internetowych 7% 6% 7% 1% Us∏ugi telekomunikacyjne 5% 5% Handel detaliczny 5% 4% Produkcja/dystrybucja energii Produkcja ˝ywnoÊci, napojów, wyrobów tytoniowych Ubezpieczenia i reasekuracja Przemys∏ wydobywczy i naftowy 0% 5% 3% 5% 2% Polska 5% 2% Âwiat 5% 2% 4% 8% 12% 16% 20% 3 W YNIKI DOTYCZÑCE P OLSKI Podsumowanie wyników badania polskich przedsiębiorstw Czynnik organizacyjny Problemy bezpieczeƒstwa informacji sà w Polsce traktowane jako wy∏àczna domena dzia∏ów IT. Jedynie 19% przedsi´biorstw zdecydowanie twierdzi, ˝e w ich organizacjach bezpieczeƒstwo informacji traktowane jest jako priorytet na poziomie kierownictwa najwy˝szego szczebla. W wi´kszoÊci przedsi´biorstw nie ma wyznaczonych kierowniczych stanowisk odpowiedzialnych za program bezpieczeƒstwa informacji. Tylko w 14% przedsi´biorstw za bezpieczeƒstwo informacji odpowiedzialny jest Dyrektor d/s Bezpieczeƒstwa Informacji, a zaledwie w 2% przypadków Dyrektor d/s Bezpieczeƒstwa. Przewa˝nie za te kwestie odpowiedzialni sà (w 26% przypadków) Dyrektorzy: Zarzàdzajàcy, Finansowy i Naczelny oraz w 23% Dyrektor d/s Informatyki. Zaledwie 19% przedsi´biorstw dobrze ocenia skutecznoÊç dzia∏u bezpieczeƒstwa informacji w realizacji potrzeb organizacji. Tylko 34% ankietowanych organizacji w Polsce ma odr´bne stanowisko oficera bezpieczeƒstwa. W Europie stanowisko takie istnieje w 48% przedsi´biorstw. Perspektywa organizacji Bezpieczeƒstwo informacji jest traktowane jako wa˝ny element realizowania podstawowych celów organizacji w 75% polskich przedsi´biorstw. ˚adne badane przedsi´biorstwo nie uzna∏o tego czynnika jako oboj´tnego lub ma∏o istotnego. Tylko 18% firm w Polsce regularnie, nie rzadziej ni˝ na kwarta∏, raportuje do zarzàdu o stanie bezpieczeƒstwa w przedsi´biorstwie, podczas gdy w Europie odsetek ten wyniós∏ 32%. 4  WIATOWE B ADANIE DOTYCZÑCE B EZPIECZE¡STWA I NFORMACJI 2004 Adaptacja procesów Polskie przedsi´biorstwa stosujà liczne mechanizmy bezpieczeƒstwa, które majà na celu ograniczenie ryzyka. Zdaniem ankietowanych cz´Êç z nich jest wystarczajàco skuteczna. Do najskuteczniejszych oraz najcz´Êciej stosowanych, wed∏ug respondentów, nale˝à (zastosowano skal´ od 1 do 5, gdzie 1 oznacza „nieskuteczne” natomiast 5 „bardzo skuteczne”): Zakres dost´pu do informacji. W 98% badanych przedsi´biorstw ka˝dy u˝ytkownik ma dost´p wy∏àcznie do informacji niezb´dnych do wykonywania swoich obowiàzków s∏u˝bowych. Ârednia ocena skutecznoÊci: 4,01 Indywidualne konta. W 98% przedsi´biorstw dost´p do systemów informatycznych u˝ytkowników mo˝liwy jest jedynie poprzez indywidualne konta. Ârednia ocena skutecznoÊci: 4,42 Klasyfikacja zasobów. W 96% badanych przedsi´biorstw wra˝liwe lub poufne zasoby informacyjne zosta∏y zidentyfikowane. Ârednia ocena skutecznoÊci: 3,94 Regularna zmiana hase∏. U˝ytkownicy sà do tego zobowiàzani w 82% przedsi´biorstw. Ârednia ocena skutecznoÊci: 4,05 Zarzàdzanie incydentami. W 82% badanych przedsi´biorstw reakcja na naruszenie regu∏ bezpieczeƒstwa jest natychmiastowa. Ârednia ocena skutecznoÊci: 3,95 Identyfikacja u˝ytkownika. 77% przedsi´biorstw wymaga pozytywnej identyfikacji u˝ytkownika przez operatora Help Desk w przypadku zmiany has∏a lub uzyskania innej pomocy. Ârednia ocena skutecznoÊci: 4,17. Wymiar ludzki Wi´kszoÊç przedsi´biorstw w Polsce jako najwi´kszà przeszkod´ w osiàgni´ciu zadowalajàcego poziomu bezpieczeƒstwa informacji wskaza∏o brak ÊwiadomoÊci zagro˝eƒ wÊród u˝ytkowników – 59% respondentów przypisa∏o temu wysokie lub bardzo wysokie znaczenie. Jednak zaledwie 26% respondentów uzna∏o podnoszenie poziomu ÊwiadomoÊci i stopnia wyszkolenia pracowników w dziedzinie bezpieczeƒstwa informacji za bardzo wa˝ne zadanie. Tylko 43% organizacji przeprowadza systematyczne szkolenia pracowników w zakresie bezpieczeƒstwa informacji i mechanizmów kontrolnych. Zaledwie po∏owa uczestników badania rozpocz´∏a prace w kierunku rozwoju programu szkoleƒ i budowania ÊwiadomoÊci – fundamentalnego elementu tworzenia skutecznej strategii bezpieczeƒstwa informacji. 5 W YNIKI DOTYCZÑCE P OLSKI Zagrożenia bezpieczeństwa Za najwi´ksze zagro˝enia bezpieczeƒstwa informacji uznaje si´: 2003 2004 Szkodliwe programy Działania pracowników Działania pracowników Szkodliwe programy Rozproszony atak DoS Utratę poufnych danych o klientach Utratę poufnych danych o klientach Rozproszony atak DoS Ataki hakerów amatorów (Script Kiddies) Fizyczne uszkodzenie systemu Powody wystàpienia nieprzewidzianej awarii systemów w 2004 roku to: szkodliwe programy – w 70% przedsi´biorstw, awaria infrastruktury – 67%, awaria oprogramowania – 61%, awaria sieci telekomunikacyjnej – 52%. Jedynie u 39% badanych dokonuje si´ regularnej oceny podatnoÊci zasobów informatycznych na atak i przeprowadza si´ testy penetracyjne. 81% przedsi´biorstw posiada procedury reagowania na incydenty naruszenia bezpieczeƒstwa systemów. Jednak tylko 40% respondentów dokona∏o ich weryfikacji w przeciàgu ostatnich dwunastu miesi´cy, podczas gdy na Êwiecie odsetek ten wynosi 61%. Motywowanie wymaganiami prawnymi 73% respondentów twierdzi, ˝e przepisy wydane przez paƒstwo majà istotny wp∏yw na dzia∏alnoÊç ich przedsi´biorstw. Ale tylko 9% badanych pomagajà one podnieÊç poziom bezpieczeƒstwa informacji. 33% respondentów nie jest w stanie okreÊliç czy regulacje te majà jakikolwiek wp∏yw na bezpieczeƒstwo informacji. 6  WIATOWE B ADANIE DOTYCZÑCE B EZPIECZE¡STWA I NFORMACJI 2004 Budżety i inicjatywy Ankietowani wskazywali najwa˝niejsze inicjatywy w obszarze bezpieczeƒstwa informacji, podj´te w ich przedsi´biorstwach w 2004 roku: dostosowanie strategii bezpieczeƒstwa do podstawowych celów przedsi´biorstwa, dostosowanie si´ do obowiàzujàcych przepisów zwiàzanych z bezpieczeƒstwem informacji, wprowadzenie polityki bezpieczeƒstwa informacji, poprawa programu odtwarzania systemów po awarii, poprawa programu zapewnienia ciàg∏oÊci dzia∏alnoÊci. 49% polskich przedsi´biorstw zwi´kszy∏o w 2004 roku swoje bud˝ety przeznaczane na bezpieczeƒstwo informacji. Plany bud˝etowe na przysz∏y rok zak∏adajà wzrost nak∏adów na bezpieczeƒstwo informacji w 60% badanych firm. G∏ówne przeszkody w osiàgni´ciu odpowiedniego poziomu bezpieczeƒstwa informacji: 2003 2004 Ograniczenia budżetowe Brak świadomości zagrożeń wśród użytkowników Priorytety w dostępie do zasobów Ograniczenia budżetowe Brak zaangażowania zarządu Trudność wykazania znaczenia bezpieczeństwa informacji Brak świadomości zarządu Brak czasu na przygotowanie długookresowych planów/rozwiązań Dostępność wykwalifikowanego personelu Dostępność wykwalifikowanego personelu Niestabilność „powiązanych przedsiębiorstw” W przypadku wystàpienia incydentu zwiàzanego z bezpieczeƒstwem informacji prawie po∏owa – 49% respondentów – zdecydowa∏aby si´ na poinformowanie organów Êcigania. Tylko 23% poinformowa∏oby o takim zdarzeniu swoich partnerów biznesowych lub dostawców, a 21% klientów. A˝ 30% respondentów zachowa∏oby t´ informacj´ w tajemnicy, nie powiadamiajàc ˝adnego podmiotu zewn´trznego. Przed zdarzeniami z 11 wrzeÊnia 2001 roku 56% firm w Polsce uznawa∏o kwesti´ posiadania planów zapewnienia ciàg∏oÊci dzia∏alnoÊci (BCP) jako pilnà lub niezmiernie pilnà. Zaraz po ataku odsetek ten wynosi∏ 76%. W 2004 roku 68% respondentów posiada takie plany, a 77% widzi potrzeb´ ich ciàg∏ego rozwoju. 7 Kontakt Ernst & Young Dzia∏ Zarzàdzania Ryzykiem Informatycznym ul. Sienna 39 00-121 Warszawa tel. +48 (22) 557 70 00 fax. +48 (22) 557 70 01 Mariusz Paw∏owski Mened˝er Koordynator badania Dzia∏ Zarzàdzania Ryzykiem Informatycznym tel. +48 (22) 557 63 60 [email protected] www.ey.com/pl/tsrs © 2004 Ernst & Young. Wszelkie prawa zastrze˝one. Ernst & Young jest zarejestrowanym znakiem towarowym.