Światowe Badanie dotyczące Bezpieczeństwa - EY

D ZIA¸ Z ARZÑDZANIA
R YZYKIEM I NFORMATYCZNYM
Światowe Badanie dotyczące
Bezpieczeństwa Informacji 2004
Wyniki dotyczące Polski
W YNIKI
DOTYCZÑCE
P OLSKI
Wstęp
Przedstawiamy Państwu streszczenie wyników Światowego
Badania Bezpieczeństwa Informacji, przeprowadzonego
przez firmę Ernst & Young. Jest to już siódma edycja tego
badania na świecie i druga w Polsce. Wzięli w nim udział
dyrektorzy działów informatycznych, departamentów
bezpieczeństwa oraz inni przedstawiciele wyższej kadry
kierowniczej z ponad 1 230 przedsiębiorstw z 51 państw.
„Poznaj wroga i poznaj siebie
– nie będziesz musiał martwić
się o wyniki setek bitew.
Jeżeli nie znasz przeciwnika,
ale znasz siebie, szansa
na zwycięstwo jest równa
szansie na przegraną.
Jeśli nie znasz ani siebie
ani swojego przeciwnika
bądź pewny przegranej
w każdej bitwie.”
Sun Tzu
„Sztuka Wojny”
W Polsce w badaniu uczestniczyły 44 największe
przedsiębiorstwa, reprezentujące różne branże,
między innymi: bankowość i finanse, handel detaliczny,
telekomunikację, ubezpieczenia, przemysł naftowy
i petrochemiczny oraz informatykę. Prawie 70% z nich
zatrudnia ponad 1 000 pracowników, a co trzecie oferuje
swoje usługi na rynku międzynarodowym.
Prezentowane obok wykresy obrazują szczegółowo
strukturę ankietowanych przedsiębiorstw.
„Sztuka Wojny” Sun Tzu, napisana około 27 wieków temu,
doskonale obrazuje wysiłki podejmowane przez organizacje
zmierzające do zapewnienia bezpieczeństwa informacji.
2
 WIATOWE B ADANIE
DOTYCZÑCE
B EZPIECZE¡STWA I NFORMACJI 2004
Uczestnicy badania
Według przychodu
50
Polska
45%
Âwiat
40
32%
28%
30
21%
19%
20
14%
11%
10
11% 10%
9%
0
Poni˝ej
100 mln $
100 mln $
– 1mld $
1 mld $
– 10 mld $
Ponad
10 mld $
Non Profit
Według branży
16%
15%
BankowoÊç
11%
Handel hurtowy, dystrybucja
3%
W∏adze paƒstwowe lub samorzàdowe,
organizacja wojskowa
Dostawca us∏ug internetowych
7%
6%
7%
1%
Us∏ugi telekomunikacyjne
5%
5%
Handel detaliczny
5%
4%
Produkcja/dystrybucja energii
Produkcja ˝ywnoÊci, napojów,
wyrobów tytoniowych
Ubezpieczenia i reasekuracja
Przemys∏ wydobywczy i naftowy
0%
5%
3%
5%
2%
Polska
5%
2%
Âwiat
5%
2%
4%
8%
12%
16%
20%
3
W YNIKI
DOTYCZÑCE
P OLSKI
Podsumowanie wyników
badania polskich
przedsiębiorstw
Czynnik organizacyjny
Problemy bezpieczeƒstwa informacji sà w Polsce traktowane jako wy∏àczna
domena dzia∏ów IT. Jedynie 19% przedsi´biorstw zdecydowanie twierdzi, ˝e w ich
organizacjach bezpieczeƒstwo informacji traktowane jest jako priorytet na poziomie
kierownictwa najwy˝szego szczebla.
W wi´kszoÊci przedsi´biorstw nie ma wyznaczonych kierowniczych stanowisk
odpowiedzialnych za program bezpieczeƒstwa informacji. Tylko w 14% przedsi´biorstw
za bezpieczeƒstwo informacji odpowiedzialny jest Dyrektor d/s Bezpieczeƒstwa
Informacji, a zaledwie w 2% przypadków Dyrektor d/s Bezpieczeƒstwa. Przewa˝nie
za te kwestie odpowiedzialni sà (w 26% przypadków) Dyrektorzy: Zarzàdzajàcy,
Finansowy i Naczelny oraz w 23% Dyrektor d/s Informatyki. Zaledwie 19%
przedsi´biorstw dobrze ocenia skutecznoÊç dzia∏u bezpieczeƒstwa informacji
w realizacji potrzeb organizacji.
Tylko 34% ankietowanych organizacji w Polsce ma odr´bne stanowisko oficera
bezpieczeƒstwa. W Europie stanowisko takie istnieje w 48% przedsi´biorstw.
Perspektywa organizacji
Bezpieczeƒstwo informacji jest traktowane jako wa˝ny element realizowania
podstawowych celów organizacji w 75% polskich przedsi´biorstw. ˚adne badane
przedsi´biorstwo nie uzna∏o tego czynnika jako oboj´tnego lub ma∏o istotnego.
Tylko 18% firm w Polsce regularnie, nie rzadziej ni˝ na kwarta∏, raportuje do zarzàdu
o stanie bezpieczeƒstwa w przedsi´biorstwie, podczas gdy w Europie odsetek ten
wyniós∏ 32%.
4
 WIATOWE B ADANIE
DOTYCZÑCE
B EZPIECZE¡STWA I NFORMACJI 2004
Adaptacja procesów
Polskie przedsi´biorstwa stosujà liczne mechanizmy bezpieczeƒstwa, które majà
na celu ograniczenie ryzyka. Zdaniem ankietowanych cz´Êç z nich jest wystarczajàco
skuteczna. Do najskuteczniejszych oraz najcz´Êciej stosowanych, wed∏ug respondentów,
nale˝à (zastosowano skal´ od 1 do 5, gdzie 1 oznacza „nieskuteczne” natomiast 5
„bardzo skuteczne”):
Zakres dost´pu do informacji. W 98% badanych przedsi´biorstw ka˝dy
u˝ytkownik ma dost´p wy∏àcznie do informacji niezb´dnych do wykonywania
swoich obowiàzków s∏u˝bowych. Ârednia ocena skutecznoÊci: 4,01
Indywidualne konta. W 98% przedsi´biorstw dost´p do systemów
informatycznych u˝ytkowników mo˝liwy jest jedynie poprzez indywidualne
konta. Ârednia ocena skutecznoÊci: 4,42
Klasyfikacja zasobów. W 96% badanych przedsi´biorstw wra˝liwe lub poufne
zasoby informacyjne zosta∏y zidentyfikowane. Ârednia ocena skutecznoÊci: 3,94
Regularna zmiana hase∏. U˝ytkownicy sà do tego zobowiàzani w 82%
przedsi´biorstw. Ârednia ocena skutecznoÊci: 4,05
Zarzàdzanie incydentami. W 82% badanych przedsi´biorstw reakcja
na naruszenie regu∏ bezpieczeƒstwa jest natychmiastowa.
Ârednia ocena skutecznoÊci: 3,95
Identyfikacja u˝ytkownika. 77% przedsi´biorstw wymaga pozytywnej
identyfikacji u˝ytkownika przez operatora Help Desk w przypadku zmiany
has∏a lub uzyskania innej pomocy. Ârednia ocena skutecznoÊci: 4,17.
Wymiar ludzki
Wi´kszoÊç przedsi´biorstw w Polsce jako najwi´kszà przeszkod´ w osiàgni´ciu
zadowalajàcego poziomu bezpieczeƒstwa informacji wskaza∏o brak ÊwiadomoÊci
zagro˝eƒ wÊród u˝ytkowników – 59% respondentów przypisa∏o temu wysokie lub
bardzo wysokie znaczenie. Jednak zaledwie 26% respondentów uzna∏o podnoszenie
poziomu ÊwiadomoÊci i stopnia wyszkolenia pracowników w dziedzinie bezpieczeƒstwa
informacji za bardzo wa˝ne zadanie. Tylko 43% organizacji przeprowadza systematyczne
szkolenia pracowników w zakresie bezpieczeƒstwa informacji i mechanizmów
kontrolnych.
Zaledwie po∏owa uczestników badania rozpocz´∏a prace w kierunku rozwoju programu
szkoleƒ i budowania ÊwiadomoÊci – fundamentalnego elementu tworzenia skutecznej
strategii bezpieczeƒstwa informacji.
5
W YNIKI
DOTYCZÑCE
P OLSKI
Zagrożenia bezpieczeństwa
Za najwi´ksze zagro˝enia bezpieczeƒstwa informacji uznaje si´:
2003
2004
Szkodliwe programy
Działania pracowników
Działania pracowników
Szkodliwe programy
Rozproszony atak DoS
Utratę poufnych danych o klientach
Utratę poufnych danych o klientach
Rozproszony atak DoS
Ataki hakerów amatorów (Script Kiddies)
Fizyczne uszkodzenie systemu
Powody wystàpienia nieprzewidzianej awarii systemów w 2004 roku to:
szkodliwe programy – w 70% przedsi´biorstw,
awaria infrastruktury – 67%,
awaria oprogramowania – 61%,
awaria sieci telekomunikacyjnej – 52%.
Jedynie u 39% badanych dokonuje si´ regularnej oceny podatnoÊci zasobów
informatycznych na atak i przeprowadza si´ testy penetracyjne.
81% przedsi´biorstw posiada procedury reagowania na incydenty naruszenia
bezpieczeƒstwa systemów. Jednak tylko 40% respondentów dokona∏o ich weryfikacji
w przeciàgu ostatnich dwunastu miesi´cy, podczas gdy na Êwiecie odsetek ten wynosi
61%.
Motywowanie wymaganiami prawnymi
73% respondentów twierdzi, ˝e przepisy wydane przez paƒstwo majà istotny wp∏yw
na dzia∏alnoÊç ich przedsi´biorstw. Ale tylko 9% badanych pomagajà one podnieÊç
poziom bezpieczeƒstwa informacji. 33% respondentów nie jest w stanie okreÊliç
czy regulacje te majà jakikolwiek wp∏yw na bezpieczeƒstwo informacji.
6
 WIATOWE B ADANIE
DOTYCZÑCE
B EZPIECZE¡STWA I NFORMACJI 2004
Budżety i inicjatywy
Ankietowani wskazywali najwa˝niejsze inicjatywy w obszarze bezpieczeƒstwa
informacji, podj´te w ich przedsi´biorstwach w 2004 roku:
dostosowanie strategii bezpieczeƒstwa do podstawowych celów
przedsi´biorstwa,
dostosowanie si´ do obowiàzujàcych przepisów zwiàzanych
z bezpieczeƒstwem informacji,
wprowadzenie polityki bezpieczeƒstwa informacji,
poprawa programu odtwarzania systemów po awarii,
poprawa programu zapewnienia ciàg∏oÊci dzia∏alnoÊci.
49% polskich przedsi´biorstw zwi´kszy∏o w 2004 roku swoje bud˝ety przeznaczane
na bezpieczeƒstwo informacji. Plany bud˝etowe na przysz∏y rok zak∏adajà wzrost
nak∏adów na bezpieczeƒstwo informacji w 60% badanych firm.
G∏ówne przeszkody w osiàgni´ciu odpowiedniego poziomu bezpieczeƒstwa informacji:
2003
2004
Ograniczenia budżetowe
Brak świadomości zagrożeń wśród użytkowników
Priorytety w dostępie do zasobów
Ograniczenia budżetowe
Brak zaangażowania zarządu
Trudność wykazania znaczenia bezpieczeństwa informacji
Brak świadomości zarządu
Brak czasu na przygotowanie długookresowych planów/rozwiązań
Dostępność wykwalifikowanego personelu
Dostępność wykwalifikowanego personelu
Niestabilność „powiązanych przedsiębiorstw”
W przypadku wystàpienia incydentu zwiàzanego z bezpieczeƒstwem informacji prawie
po∏owa – 49% respondentów – zdecydowa∏aby si´ na poinformowanie organów Êcigania.
Tylko 23% poinformowa∏oby o takim zdarzeniu swoich partnerów biznesowych lub
dostawców, a 21% klientów. A˝ 30% respondentów zachowa∏oby t´ informacj´
w tajemnicy, nie powiadamiajàc ˝adnego podmiotu zewn´trznego.
Przed zdarzeniami z 11 wrzeÊnia 2001 roku 56% firm w Polsce uznawa∏o kwesti´
posiadania planów zapewnienia ciàg∏oÊci dzia∏alnoÊci (BCP) jako pilnà lub niezmiernie
pilnà. Zaraz po ataku odsetek ten wynosi∏ 76%. W 2004 roku 68% respondentów
posiada takie plany, a 77% widzi potrzeb´ ich ciàg∏ego rozwoju.
7
Kontakt
Ernst & Young
Dzia∏ Zarzàdzania Ryzykiem Informatycznym
ul. Sienna 39
00-121 Warszawa
tel. +48 (22) 557 70 00
fax. +48 (22) 557 70 01
Mariusz Paw∏owski
Mened˝er
Koordynator badania
Dzia∏ Zarzàdzania Ryzykiem Informatycznym
tel. +48 (22) 557 63 60
[email protected]
www.ey.com/pl/tsrs
© 2004 Ernst & Young.
Wszelkie prawa zastrze˝one.
Ernst & Young jest zarejestrowanym
znakiem towarowym.