Bucuresti - 24 noiembrie 2014
-
Peste o treime dintre organizaţii (37%) nu dispun de informaţii în timp real despre riscurile cibernetice, le lipsește agilitatea, bugetul şi competenţele necesare pentru combaterea infracţionalităţii cibernetice
Principala vulnerabilitate a companiilor în faţa criminalităţii informatice este reprezentată de angajaţii nepăsători și în necunoștință de cauză, în timp ce furtul de de informaţii financiare este cea mai mare amenințare
Organizaţiile trebuie să fie în alertă permanentă și să anticipeze zonele de unde s-ar putea ivi noi ameninţări.
Cele mai multe organizaţii (67%) se confruntă cu creşterea nivelului de risc la adresa securităţii informaţiilor interne, iar peste o treime din ele (37%) nu au informații în timp real despre riscurile cibernetice care să le ajute să răspundă acestor ameninţări, se arată în raportui anual EY privind securitatea informațiilor, Get Ahead of Cybercrime. Raportul EY are la bază un sondaj la care au participat 1.825 de organizaţii din 60 de ţări.
Companiile sunt lipsite de agilitatea, bugetul şi competenţele necesare pentru remedierea vulnerabilităţilor cunoscute şi pentru o pregătire eficientă pe zona de securitate informatică.
43% dintre respondenţi au declarat că bugetul total alocat de către organizația lor securității informației va rămâne aproximativ la fel în următoarele 12 luni, în ciuda creşterii numărului de ameninţări, fapt care reprezintă doar o îmbunătăţire minoră a situaţiei faţă de 2013, când 46% au declarat că bugetele lor nu se vor modifica.
Mai mult de jumătate dintre respondenţi (53%) au afirmat că lipsa resurselor umane calificate reprezintă unul dintre principalele obstacole cu care se confruntă în implementarea unui program eficient de securitate a informaţiilor din organizaţie şi doar 5 la sută dintre companiile respondente dispun de o echipă de investigare și analiză a ameninţărilor, care include analişti dedicaţi. Aceste date marchează mici diferențe față de anul 2013 când 50% din respondenţi subliniau lipsa resurselor calificate iar 4% declarau că dispun de o echipă de investigare și analiză la ameninţări care include analişti dedicaţi.
"Angajaţii nepăsători și în necunoștință de cauză " reprezintă principala vulnerabilitate cu care se confruntă companiile, menționată de 38% dintre respondenţi, iar "arhitectura sau sistemul învechit de securitate a informaţiilor" şi "folosirea cloud computing-ului" ocupă poziţiile doi şi trei, cu 35%, respectiv 17%.
"Furtul de informaţii financiare", "perturbarea și distorsionarea activității organizației" şi "furtul de proprietate intelectuală sau de date" reprezintă principalele trei ameninţări (menționate și ca priorități de 28%, 25% şi, respectiv, 20% dintre respondenți).
Studiul din acest an arată că organizaţiile trebuie să acționeze mult mai eficient în anticiparea atacurilor cibernetice într-un mediu în care nu mai este posibilă prevenirea tuturor breşelor de securitate, iar ameninţările provin din surse exterioare tot mai diverse şi mai bine finanţate.
Carmen Adamescu, Executive Director, EY România, declară:
"Organizaţiile trebuie sa dezvolte pe viitor o strategie care să includă şi gestionarea riscurilor şi să înţeleagă cum să anticipeze criminalitatea informatică. Atacurile cibernetice au potenţialul de a provoca daune profunde - nu doar din punct de vedere financiar, ci şi în termeni de brand şi reputaţie, de pierdere a avantajelor competitive şi de nerespectare a normelor şi reglementărilor. Organizaţiile trebuie să facă trecerea de la o poziție reactivă la una proactivă, și să se transforme din ţinte uşoare ale criminalilor cibernetici în adversari redutabili ai acestora".
Raportul EY încurajează organizaţiile să ia în considerare valoarea adăugată pe care o poate aduce companiei zona de securitate a informaţiilor și să o integreze în activitatea principală de business. O astfel de abordare presupune menținerea organizaţiei într-o permanentă stare de pregătire, de anticipare a zonelor de unde ar putea apărea noi ameninţări şi de renunţarea definitivă la mentalitatea de "victimă" care generează o stare perpetuă de anxietate.
Principalele recomandări desprinse din raport pentru a se atinge acest nivel,:
- O stare permanentă de alertă faţă de noi ameninţări: Leadership-ul organizaţiei ar trebui să considere riscurile şi ameninţările legate de atacurile cibernetice drept un aspect esențial în desfășurarea activității de business şi să pună în practică un proces dinamic de luare a deciziilor, care să permită trecerea rapidă la acţiuni de prevenire.
- Înţelegerea surselor potenţiale de ameninţare: Organizațiile să-și definească un orizont extins și bine țintit în privința amenințărilor cibernetice și a modului în care acestea ar putea afecta organizația și să investească în studii privind aceste amenințări.
- Cunoaşterea celor mai valoroase active: Necesitatea de a exista o înțelegere comună la nivelul organizației cu privire la clasificarea activelor, în funcție de valoarea cea mare pentru business, şi asupra modului în care aceste active pot fi prioritizate şi protejate.
- Concentrare pe gestionarea incidentelor și a situațiilor de criză: Organizaţiile ar trebui să îşi exerseze în mod regulat capacitatea de răspuns în situații de criză sau incidente.
- Învăţare şi evoluţie: Analizarea detaliată a incidentelor de criminalitate informatică reprezintă un element cheie al întregului puzzle. Organizaţiile ar trebui să studieze cu atenție datele culese în urma incidentelor şi atacurilor informatice, să mențină şi să dezvolte noi relaţii de colaborare şi să-şi înnoiască în mod regulat strategia.
Carmen Adamescu, Executive Director, EY România adaugă: "Dincolo de ameninţările interne, organizaţiile sunt nevoite să aibă în vedere întregul ecosistem de business şi modul în care care relaţiile dezvoltate cu terţii şi cu furnizorii pot influența zona de securitate a informaţiilor. Pentru o organizaţie devin vizibile rezultatele investiţiilor în securitatea informaţiilor doar după atingerea unui nivel avansat de pregătire. Prin aşezarea tuturor elementelor în ansamblul sistemului de securitate şi asigurarea că acesta este capabil să se adapteze la schimbare, companiile vor reuși să fie cu un pas înaintea infractorilor cibernetici, adăugând capabilităţi înainte ca acestea să fie necesare şi pregătindu-se în fața posibilelor ameninţări înainte ca acestea să apară."
Despre EY România
EY este una dintre cele mai mari firme de servicii profesionale la nivel global, cu 190.000 de angajaţi în peste 700 de birouri din 150 de ţări şi venituri de aproximativ 27,4 miliarde de USD în anul fiscal încheiat la 30 iunie 2014. Reţeaua noastră este cea mai integrată la nivel global, iar resursele din cadrul acesteia ne ajută să le oferim clienţilor servicii prin care să beneficieze de oportunităţile din întreaga lume. În România, EY este unul dintre liderii de pe piaţa serviciilor profesionale încă de la înfiinţare, în anul 1992. Cei peste 500 angajaţi din România şi Republica Moldova furnizează servicii integrate de audit, asistenţă fiscală, asistenţă în tranzacţii şi servicii de asistenţă în afaceri către companii multinaţionale şi locale. Avem birouri în Bucureşti, Cluj-Napoca, Timişoara, Iaşi şi Chişinău. De la 1 iulie 2013, Ernst & Young a devenit EY, logo-ul s-a schimbat pentru a răspunde acestei modificări, iar noul tagline al companiei este „Building a better working world”. Această redefinire a identităţii vizuale vine să reflecte noua strategie a companiei, Vision 2020. Pentru mai multe informaţii, vizitaţi pagina noastră de internet: www.ey.com.
.
Cuvinte cheie:
studiu EY atacuri cibernetice