„Indeks niepewności” – brak strategii bezpieczeństwa IT zagrożeniem dla sektora MSP
Potencjalny wpływ cyber ataków i utraty poufnych danych na działalność biznesową jest dostrzegany szczególnie przez duże organizacje takie jak Evernote czy LexisNexis. Świadomość wpływu zagrożeń sieciowych na funkcjonowanie firmy często jest mniejsza w przypadku sektora Małych i Średnich Przedsiębiorstw.
Niedawno Ponemon Institute i Sophos wydały raport „Ryzyko niepewnej strategii bezpieczeństwa IT”, wynika z niego, że kwestie bezpieczeństwa IT nie są traktowane priorytetowo przez sektor MSP, ponieważ kadra zarządzająca nie potrafi wprowadzić jasnej strategii walki z tego typu zagrożeniami.
Na podstawie odpowiedzi na 12 pytań zawartych w ankiecie Ponemon stworzył „Indeks niepewnośc”, wahający się od 10 do 1, gdzie 10 oznacza największą niepewność, a 1 pewność.
Jakie wnioski z indeksu mogą wyciągnąć przedstawiciele małych i średnich firm:
- Firmy amerykańskie z wynikiem 5,9 mają największy wskaźnik niepewności zagrożeń IT, zaraz za nimi plasuje się Wielka Brytania (5,0) i organizacje z regionu Azji i Pacyfiku (4,8). Sektor MSP w Niemczech charakteryzuje się największą świadomością cyber-zagrożeń (3,8).
- Mniejsze organizacje są najbardziej niepewne zagrożeń IT. Firmy zatrudniające poniżej 100 pracowników posiadają ocenę 6,5.
- Według badania im wyższa pozycja pracownika w organizacji tym większa niepewność co do strategii bezpieczeństwa IT. Dyrektorzy otrzymali ocenę 6,8.
Badanie zidentyfikowało 7 oznak niepewnej polityki security IT:
Cyberataki pozostają niewykryte: znacząca liczba respondentów (33 proc.) jest niepewna czy ich organizacja doświadczyła cyberataku w ciągu ostatnich 12 miesięcy.
Nieznane przyczyny naruszenia danych: 51 proc. respondentów twierdzi, że ich organizacja doświadczyła naruszenia danych, tymczasem 44 proc. z nich nie potrafi zidentyfikować przyczyny tego stanu.
Brak reakcji na zagrożenia wykorzystujące luki w zabezpieczeniach: brakuje wiedzy na temat częstotliwości i skali ataków cybernetycznych. 33 proc. badanych potwierdziło, że brak wiedzy uniemożliwia wdrożenie skutecznej polityki bezpieczeństwa IT.
Bezpieczeństwo IT nie jest priorytetem: dla 44 proc. badanych kwestie IT security nie są priorytetem. Dowodem tego jest fakt, że 42 proc. respondentów uważa, że ich budżet nie jest wystarczający do zapewnienia skutecznej ochrony IT. Dodatkowo 26 proc. twierdzi, że ich personel IT nie posiada wystarczającej wiedzy do zarządzania polityką bezpieczeństwa.
Brak inwestycji w cyberbezpieczeństwa: respondenci na wyższych stanowiskach mają najwięcej niepewności o zagrożeniach w ich organizacjach. 58 proc. z badanych twierdzi,
że zarząd nie postrzega cyberataków jako znaczące ryzyko.
Dwuznaczność trendu BYOD: 55 proc. respondentów twierdzi, że mobilne urządzenia zmniejszają stan bezpieczeństwa organizacji. Jednak, aż 58 proc. mimo zgłaszania obaw akceptuje używanie prywatnych urządzeń mobilnych w miejscu pracy. 45 proc. twierdzi, że trend BYOD zmniejsza skuteczność zabezpieczeń organizacji.
Ekonomiczny wpływ działań cyberprzestępców jest nieznany: Respondenci szacują, że koszt zakłóceń spowodowanych działaniami cyberprzestępców jest znacznie wyższy od kosztów szkód, kradzieży majątku i infrastruktury. 29 proc. nie potrafi oszacować kosztów strat wywołanych utratą danych cyfrowych.
Źródło: Sophos