ΕΠΙΧΕΙΡΗΣΕΙΣ

Στις μη προτεραιότητες των εταιρειών η ασφάλεια των πληροφοριών

Οι επενδύσεις σε τεχνολογία και αναβάθμιση υφιστάμενων υποδομών, η εκπαίδευση και επιμόρφωση σε θέματα ασφάλειας πληροφοριών δεν αποτελούν άμεση προτεραιότητα για τις περισσότερες εταιρείες, σύμφωνα με πρόσφατη έρευνα της εταιρείας παροχής ελεγκτικών, φορολογικών και χρηματοοικονομικών υπηρεσιών Ernst & Young. H έρευνα διεξήχθη σε 66 χώρες, συμπεριλαμβανομένης της Ελλάδας και συμμετείχαν 1.400 εταιρείες από 26 διαφορετικούς κλάδους δραστηριότητας.

Στόχοι της έρευνας, η οποία διεξάγεται για έκτη στη σειρά χρονιά, ήταν η καταγραφή της εικόνας του τομέα της ασφάλειας πληροφοριών και η διερεύνηση των επιπτώσεών της σε ένα ευρύ επιχειρηματικό φάσμα. Ειδικότερα, τα σημαντικότερα συμπεράσματα που προκύπτουν από την παγκόσμια έρευνα για την Ασφάλεια Πληροφοριών είναι:

– Ο ανεπαρκής προϋπολογισμός θεωρείται το υπ’ αριθμόν ένα εμπόδιο για την αποτελεσματική ασφάλεια πληροφοριών, ακολουθούμενος από τη σύγκρουση προτεραιοτήτων στη χρησιμοποίηση πόρων -κάτι το οποίο είναι αναμενόμενο, λαμβάνοντας υπόψη ότι η έρευνα διεξήχθη σε περίοδο οικονομικής ύφεσης στις περισσότερες χώρες.

– Ο δείκτης απόδοσης επενδύσεων (Returoinvestment – ROI) δεν θεωρείται χρήσιμος για τη μέτρηση της αποδοτικότητας των δαπανών, που πραγματοποιούνται για την ασφάλεια πληροφοριών. Αυτό αποδεικνύεται από το ποσοστό των επιχειρήσεων (σχεδόν 60%), που ανέφεραν ότι σπάνια ή ποτέ δεν υπολογίζουν τον δείκτη απόδοσης επενδύσεων στα πλαίσια της αξιολόγησης των δαπανών της ασφάλειας πληροφοριών.

– Παρατηρείται ασυνέπεια μεταξύ της υψηλής σημασίας, που αποδίδεται στην ασφάλεια πληροφοριών και της σχετικά χαμηλής αυτοαξιολόγησης των επιχειρήσεων αναφορικά στη δυνατότητά τους να καλύπτουν και να αντεπεξέρχονται σε ζητήματα ασφάλειας που αντιμετωπίζουν. Μόλις οι μισές επιχειρήσεις υποστηρίζουν ότι οι δαπάνες και οι επενδύσεις στην ασφάλεια πληροφοριών είναι ευθυγραμμισμένες με τους κύριους επιχειρησιακούς στόχους τους.

– Παρόλο που η εκτίμηση κινδύνων θεωρείται από τους περισσότερους ως πολύ σημαντική και κρίσιμη διαδικασία, μόνο το 27% των συμμετεχόντων αξιολόγησε την «ανταπόκριση της Διοίκησης στα ευρήματα της εκτίμησης κινδύνων ασφάλειας πληροφοριών» ανάμεσα στους τρεις πρώτους καθοριστικούς παράγοντες που λαμβάνονται υπόψη όταν οι επιχειρήσεις εξετάζουν την υιοθέτηση νέων λύσεων ασφάλειας πληροφοριών.

Μόνο το 34% των εταιρειών που συμμετείχαν υποστήριξαν ότι έχουν συμμορφωθεί με σχετικούς κανονισμούς ασφάλειας, ενώ τo 34% των οργανισμών αξιολόγησε ως ανεπαρκή τη δυνατότητά τους να εντοπίζουν πιθανές επιθέσεις στα συστήματά τους.

– Το ένα τρίτο των οργανισμών (33%) εκτιμούν ως ανεπαρκή την ικανότητά τους να αντεπεξέλθουν σε περιστατικά ασφάλειας.

– Οι ιοί συνεχίζουν να αποτελούν τη βασικότερη πηγή προβληματισμού αναφορικά με την ασφάλεια πληροφοριών και να συγκεντρώνουν τη προσοχή των μέσων ενημέρωσης και του κοινού. Παρόλα αυτά, οι διευθυντές πληροφορικής ολοένα και περισσότερο αναγνωρίζουν τη σημασία των εσωτερικών απειλών, όπως για παράδειγμα οι κακόβουλες ενέργειες υπαλλήλων, που χρησιμοποιούν τα εταιρικά πληροφοριακά συστήματα.

Σχετικά με τα ευρήματα της παγκόσμιας έρευνας, ο Εταίρος της Ernst & Young, κύριος Κ. Τσιφλάκος σημειώνει ότι «λίγοι οργανισμοί αντιλαμβάνονται πλήρως την ευρύτητα του αντικειμένου της ασφάλειας πληροφοριών, που περιλαμβάνει πλήθος οργανωτικών, τεχνολογικών, διαδικαστικών και επικοινωνιακών παραμέτρων. Συνήθως τείνουν να υιοθετούν μια μονοδιάστατη προσέγγιση, η οποία εστιάζεται σε τεχνολογικές λύσεις και αποσπασματική αντιμετώπιση των περιστατικών μετά την πραγματοποίησή τους.

Η πρόληψη και η συνολική αντιμετώπιση της ασφάλειας πληροφοριών μέσω μιας μεθοδικής προσέγγισης (ανάλυση επικινδυνότητας, ανάπτυξη πολιτικών και προτύπων ασφάλειας, εγκαθίδρυση οργανωτικού και διαδικαστικού πλαισίου ασφάλειας, εκπαίδευση και ενημέρωση του προσωπικού) δεν αποτελούν προτεραιότητα για τις περισσότερες εταιρείες».

Υπάρχουν τρεις κύριες πρωτοβουλίες, που οι οργανισμοί μπορούν να υιοθετήσουν, ώστε να βελτιώσουν την απόδοση των επιχειρησιακών τους προγραμμάτων ασφάλειας: Η ενεργός δραστηριοποίηση της διοίκησης σε θέματα ασφάλειας πληροφοριών, η επικοινωνία των θεμάτων ασφάλειας πληροφοριών στη διοίκηση, με τρόπο που να αναδεικνύεται η σημασία τους και η ευθυγράμμιση των στόχων ασφάλειας με τους επιχειρησιακούς στόχους του οργανισμού.