Szukając oszczędności w okresie recesji, wiele firm zdecydowało się zmniejszyć wydatki na zapewnienie odpowiedniej ochrony swoich danych. Teraz, po doświadczeniach z ostatnich kilkunastu miesięcy, stawiają na usprawnienie procesów zarządzania ryzykiem. Wzrosła bowiem liczba potencjalnych zagrożeń.
To główne wnioski ze światowego badania bezpieczeństwa informacji, jakie już po raz dwunasty przeprowadziła firma Ernst & Young. Cykliczność badania pozwala na identyfikację zarówno krótko-, jak i długoterminowych trendów oraz zmian zachodzących w obszarze bezpieczeństwa informacji. W tegorocznym badaniu wzięło udział ponad 1900 firm z całego świata, w tym także z Polski, reprezentujących różne branże. Wyniki badania przeprowadzonego pod koniec 2009 roku nabierają szczególnego znaczenia ze względu na zmiany w otoczeniu przedsiębiorstw, spowodowane ogólnoświatowym kryzysem gospodarczym. Zwiększona presja na redukcję kosztów i poprawę zwrotu z realizowanych przedsięwzięć spowodowała również zmianę sposobu zarządzania bezpieczeństwem informacji w firmach.
Spadek nakładów
Kryzys zamroził wydatki na bezpieczeństwo informatyczne firm. O 10% – w porównaniu z rokiem 2008 – spadła liczba przedsiębiorstw deklarujących wzrost udziału wydatków na ten cel w całości kosztów organizacji, zaś 3% firm zdecydowało się wręcz na ich ograniczenie.
Spadek nakładów stał się poważnym wyzwaniem dla menedżerów odpowiadających za bezpieczeństwo danych. Z poprzednich badań wynikało, że dotychczas największym problemem była dla nich niewystarczająca świadomość organizacji dotycząca zagrożeń i zagadnień związanych z bezpieczeństwem. Tym razem – w ocenie 56% respondentów – ważniejsze okazało się zapewnienie firmie odpowiedniej liczby dobrze wykwalifikowanych pracowników do realizacji zadań związanych z bezpieczeństwem. Wiązało się to z kolejnym problemem, wskazywanym przez 50% respondentów, czyli niewystarczającymi budżetami na realizację niezbędnych zadań w tym obszarze.
Firmy zdecydowały się na cięcia, chociaż zapewnienie bezpieczeństwa posiadanych informacji często jest wymogiem prawnym. Jednak zmniejszenie wydatków w porównaniu z poprzednimi latami nie odbiło się – zdaniem respondentów – niekorzystnie na jakości zabezpieczeń i nie miało większego wpływu na efektywność procesów związanych z bezpieczeństwem danych.
Wzrost zagrożeń
Okres kryzysu oznaczał zarówno spadek nakładów na bezpieczeństwo informacji, jak i wzrost zagrożenia bezpieczeństwa przedsiębiorstwa. Z badań prowadzonych przez Ernst & Young wynika, że nieustannie rośnie poziom ryzyka informatycznego. Przeszło 40% ankietowanych firm zaobserwowało wyraźne zwiększenie liczby ataków zewnętrznych hakerów. Natomiast 25% przyznało, że zaobserwowało wzrost liczby wewnętrznych ataków, czyli ze strony własnych pracowników. W tej grupie są oczywiście osoby zwalniane z pracy, które zdaniem 75% respondentów stanowią największe zagrożenie dla firm. Na tym tle konieczne staje się więc uporządkowanie procesów związanych z zarządzaniem uprawnieniami i lepszą kontrolą dostępu do wewnętrznych informacji.
Więcej zarządzania ryzykiem, mniej outsourcingu
Ograniczone budżety i wzrost zagrożeń sprawiły, że menedżerowie postanowili się skoncentrować na poprawie procesów zarządzania ryzykiem w firmie. Aż 50% badanych przedsiębiorstw stwierdziło, że w najbliższym roku zakłada zwiększenie nakładów na ten cel. W pierwszej kolejności planowana jest ponowna priorytetyzacja zadań w obszarze bezpieczeństwa, która ma usprawnić działania zapobiegawcze i ochronne.
Zmienia się też stosunek firm do usług outsourcingowych związanych z zarządzaniem bezpieczeństwem informacji. Choć outsourcing uznawany jest powszechnie za efektywny sposób zmniejszania kosztów, to respondenci badania przejawiali ograniczony poziom zaufania do tej metody szukania oszczędności. W porównaniu z wynikami ankiety z 2008 roku najnowsze badanie pokazuje, że 5% przedsiębiorstw zrezygnowało z outsourcingu we wszystkich obszarach zarządzania bezpieczeństwem danych. Jedynie testy penetracyjne (bezpieczeństwa informatycznego) zostały wskazane jako czynność przekazywana partnerom zewnętrznym. Pozostałe działania związane z bezpieczeństwem były w znaczącej większości przedsiębiorstw realizowane wewnątrz organizacji.
W obszarze bezpieczeństwa informacji czas kryzysu okazał się dużym wyzwaniem. Przy ograniczonych środkach na realizację wymaganych zadań i relatywnym wzroście zagrożeń konieczne stało się zwiększenie efektywności podejmowanych działań zmierzających do ochrony informacji. Wymaga to od organizacji i jej menedżerów wysokich umiejętności zarządzania ryzykiem oraz lepszej alokacji ograniczonych zasobów.
