Firmy podejmują działania na rzecz bezpieczeństwa informacji głównie dlatego, że zmuszają je do tego coraz ostrzejsze wymogi prawne - wynika z globalnego badania przeprowadzonego przez Ernst & Young.

Badanie przeprowadzono już po raz ósmy. Objęto nim kierownictwo wyższego szczebla ponad 1300 organizacji z 55 krajów świata. W Polsce w badaniu wzięły udział 33 firmy z różnych branż, między innymi finansowej, telekomunikacyjnej, paliwowej oraz informatycznej.

Wyniki badań wskazują, że rośnie dysporoporcja między zwiększającym się ryzykiem, które jest efektem szybkich zmian zachodzących w biznesie i w jego otoczeniu, a działaniami podejmowanymi przez firmy w zakresie bezpieczeństwa informacji. Fakt, że ochrona danych ma decydujące znaczenie dla zdolności zarządzania ryzykiem, jest niedoceniany. W globalizującym się świecie powiązań wszystkie podmioty powinny brać pod uwagę poziom bezpieczeństwa informacji, gwarantowany przez tych, z którymi współpracują, oraz badać, czy kooperanci zasługują na zaufanie, jakim ich obdarzono. Ale zarządy firm w zbyt małym stopniu uwzględniają ten fakt w swoich decyzjach.

Na bezpieczeństwo informacji kładziony jest coraz większy nacisk w przepisach prawa. Firmy starają się sprostać tym wymogom i często dlatego tylko podejmują odpowiednie działania. W ostatnim badaniu respondenci po raz pierwszy wskazali konieczność dostosowania się do wymogów prawnych jako najważniejszy powód podejmowania działań związanych z bezpieczeństwem informacji. Na świecie takiej odpowiedzi udzieliło 61% badanych, w Polsce 78%. Nowe regulacje, które stawiają przed firmami wyższe rygory, to przede wszystkim Ustawa Sarbanes-Oxley, Nowa Umowa Kapitałowa oraz VIII Dyrektywa.

Najważniejsze zagrożenia

Postęp technologiczny, a także konieczność sprostania coraz wyższym wymogom konkurencji sprawiają, że przedsiębiorstwa wprowadzają nowe rozwiązania techniczne, które niosą poważne zagrożenia dla bezpieczeństwa informacji. Coraz więcej firm dostrzega ten problem, ale równie dużo nie uwzględnia go w swoich planach i działaniach.

Wśród rozwiązań, które niosą największe zagrożenie, na pierwszym miejscu znalazły się przenośne urządzenia informatyczne. Wskazało na nie 53% badanych na świecie i 71% w Polsce. Wymienne nośniki danych to zagrożenie dla 49% firm na świecie i 59% w Polsce. Na trzecie miejsce trafiły sieci bezprzewodowe - 48% respondentów na świecie i 47% w Polsce. Rozwiązania te sprawiają, że kontrolowanie informacji istotnej dla przedsiębiorstwa jest coraz trudniejsze. Warto jednak zwrócić uwagę, że koncentracja uwagi na zagrożeniach ze strony technologii moblilnej powoduje, iż zmniejsza się świadomość niebezpieczeństw wynikających z innych rozwiązań technologicznych.

Kolejnym istotnym zagrożeniem jest poziom bezpieczeństwa informacji w powiązaniach z innymi podmiotami. Badania wskazują, że wiele organizacji nie zarządza odpowiednio ryzykiem naruszenia bezpieczeństwa informacji przez ich dostawców, kontrahentów i klientów lub zarządza nim jedynie w sposób nieformalny, nie posiadając spisanych i zatwierdzonych procedur. Jedna piąta respondentów na świecie w ogóle nie zajmuje się tą kwestią, a jedna trzecia stosuje tylko nieformalne procedury. W Polsce do braku zarządzania ryzykiem naruszania bezpieczeństwa informacji przyznało się 38% respondentów, a 9% podało, że stosuje jedynie nieformalne procedury.

Działania zapobiegawcze

Jednym z działań zmierzających do podniesienia poziomu bezpieczeństwa informacji oraz zapobieżenia zagrożeniom jest wprowadzenie określonych standardów, co znajduje odzwierciedlenie w uzyskaniu odpowiednich certyfikatów. Najpopularniejsze certyfikaty bezpieczeństwa informacji to: ISO 17790/BS 7799, CobIT, ITIL. Najbardziej rozpowszechniony z nich - ISO 17799 - wdrożyło 25% biorących udział w badaniu firm na świecie, a kolejne 30% firm planuje takie wdrożenie. W Polsce wskaźnik ten wynosi odpowiednio 19% i 44%. Te firmy, które uzyskały certyfikaty, chcą zwykle, by podobne posiadali również ich biznesowi partnerzy. Poddanie się procesowi certyfikacji wymusza na firmach stosowanie najlepszych praktyk w zakresie bezpieczeństwa informacji, ale także zwiększa ich przewagę konkurencyjną.

Ostatnie światowe badanie bezpieczeństwa informacji wskazuje na poważną dysproporcję pomiędzy rosnącą liczbą zagrożeń a podejmowanymi działaniami profilaktycznymi. Coraz wyższe wymogi prawne związane z bezpieczeństwem informacji firmy traktują jako konieczność, a nie jako okazję do reorganizacji i spojrzenia na ochronę danych z punktu widzenia zarządzania ryzykiem i osiągania strategicznych celów. W większości badanych podmiotów istnieje wprawdzie funkcja zarządzania bezpieczeństwem informacji, ale w niewielu jest ona zintegrowana z procesami zarządzania ryzykiem. Bezpieczeństwo informacji stanowi potencjał strategiczny organizacji, ale rzadko tak właśnie bywa traktowane.