Επιχειρήσεις και οργανισμοί παγκοσμίως επενδύουν στις υποδομές, αλλά υστερούν στην εφαρμογή και παρακολούθηση της Ασφάλειας Πληροφοριών (Ιnformation Security) καθώς και της προστασίας του ιδιωτικού απορρήτου.
Αυτό προκύπτει από την έρευνα Global State of Information Security 2007 (Παγκόσμια Κατάσταση Ασφάλειας Πληροφοριών 2007) της PricewaterhouseCoopers και των περιοδικών CIO και CSO. Πρόκειται για τη μεγαλύτερη στον τομέα της έρευνα, τα συμπεράσματά της οποίας βασίζονται στις απαντήσεις 7.200 διευθυντικών στελεχών Πληροφορικής (CIO), Ασφάλειας (CSO), Ασφάλειας Πληροφοριών (CISO) και άλλων κατηγοριών, σε περισσότερες από 119 χώρες, από όλους τους επιχειρηματικούς τομείς.
Διαρκής ενίσχυση του ρόλου των τμημάτων Πληροφορικής»
Τα αποτελέσματα της έρευνας καταδεικνύουν ότι το 2007 η πλειονότητα των προϋπολογισμών για την ασφάλεια πληροφοριών προέρχεται από τα τμήματα Πληροφορικής (ποσοστό 65%), ενώ παράλληλα τα τμήματα αυτά αποκτούν και τον έλεγχο του συνολικού προϋπολογισμού Ασφαλείας.
Επιπλέον, ενώ η καταστρατήγηση των δεδομένων δημιουργεί ανησυχία για την προστασία του ιδιωτικού απορρήτου, η εφαρμογή τεχνολογιών κρυπτογράφησης παραμένει χαμηλής προτεραιότητας, παρ’ όλο που η μη υιοθέτηση τους αποτελεί πολλές φορές την αιτία διαρροής πληροφοριών.
Επενδύσεις ασφαλείας, αλλά ελλιπής έλεγχος εφαρμογής τους
Σύμφωνα με την έρευνα, η πλειονότητα των επιχειρήσεων και των οργανισμών διαθέτουν πλέον Διευθυντές Ασφαλείας (CSO) και Διευθυντές Ασφάλειας Πληροφοριών (CISO) σε ποσοστό που ανέρχεται στο 57% των ερωτηθέντων το 2007, έναντι 37% το 2006. Οι περισσότερες επιχειρήσεις επένδυσαν σημαντικά στην υιοθέτηση τεχνολογιών προστασίας της Ασφάλειας των Πληροφοριών και στην υλοποίηση ασφαλιστικών δικλείδων, όπως εγκατάσταση firewalls (88%), λήψη αντιγράφων Ασφάλειας –backups- (82%), passwords (80%), εγκατάσταση συστημάτων ανίχνευσης κακόβουλου λογισμικού (spyware, ιοί, κα). Ωστόσο, η επένδυση χρόνου στην εφαρμογή πρακτικών μέτρων παραμένει σε χαμηλά επίπεδα. Για παράδειγμα, το 63% των ερωτηθέντων αναφέρουν ότι δεν ελέγχουν την εφαρμογή των πολιτικών Ασφαλείας από τους υπαλλήλους τους, ενώ λιγότεροι από τους μισούς (48%) αξιολόγησαν και επανεξέτασαν την αποτελεσματικότητα των πολιτικών και διαδικασιών Ασφαλείας τη χρονιά που πέρασε.
Σύμφωνα με την έρευνα, οι περισσότερες επιχειρήσεις δεν διαθέτουν καταγεγραμμένες διαδικασίες για την εφαρμογή της Πολιτικής Ασφάλειας των Πληροφοριών. Όπως σημειώνεται, λιγότερο από το ένα τρίτο των επιχειρήσεων (31%) διαθέτει μηχανισμούς εφαρμογής της πολιτικής και των διαδικασιών, ενώ μόλις το 28% συλλέγει στοιχεία σε σχέση με μετρήσιμους δείκτες για την προστασία της Ασφάλειας και την εφαρμογή των δικλείδων Ασφάλειας.
«Η αβεβαιότητα για την επιχειρηματική αξία των επενδύσεων Ασφάλειας θα παραμένει μεγάλη, αν οι εταιρείες εξακολουθούν να μην παρακολουθούν αποτελεσματικά τη συμμόρφωση των χρηστών ή να εκτιμούν τον αντίκτυπο στην εφαρμογή, την παρακολούθηση της υλοποίησης μέσω μετρήσιμων στοιχείων, την επισκόπηση και την αναθεώρηση των πολιτικών Aσφάλειας καθώς και της προστασίας του ιδιωτικού απορρήτου», επισημαίνει ο κ. Mark Lobel, Advisory Partner της PricewaterhouseCoopers.
Την ίδια ώρα εντοπίζεται χάσμα σε σχέση με την ευθυγράμμιση των δαπανών Ασφάλειας Πληροφοριών με τους στρατηγικούς στόχους μιας επιχείρησης. Σύμφωνα με τα πορίσματα της έρευνας, μόνο το 30% των ερωτηθέντων ανέφεραν ότι η πολιτική Ασφαλείας της επιχείρησής τους είναι πλήρως ευθυγραμμισμένη με τους βασικούς στρατηγικούς της στόχους. Ακόμη λιγότεροι (22%) πιστεύουν πως οι δαπάνες για την ασφάλεια είναι πλήρως ευθυγραμμισμένες με τους στρατηγικούς στόχους της επιχείρησης.
Χαμηλής προτεραιότητας το ιδιωτικό απόρρητο
Σύμφωνα με άλλα αποτελέσματα της έρευνας, το απόρρητο αποτελεί μια υπηρεσία ιδιαίτερης βαρύτητας, αλλά είναι τελευταία στη λίστα των προτεραιοτήτων μιας επιχείρησης. Οι περισσότερες επιχειρήσεις αναφέρουν οφέλη από την εφαρμογή μέσων προστασίας του ιδιωτικού απορρήτου, εντούτοις υπάρχουν κρίσιμοι τομείς που οι επιχειρήσεις είναι ακόμα αδύναμες. Η κρυπτογράφηση (encryption) των δεδομένων δεν αποτελεί προτεραιότητα, παρ’ όλο που έχει εντοπιστεί πως η μη υιοθέτησή της αποτελεί τη βασική αιτία διαρροής πληροφοριών. Λιγότεροι από τους μισούς συμμετέχοντες στην έρευνα αναφέρουν ότι κωδικοποιούν τις πληροφορίες που βρίσκονται αποθηκευμένες στις βάσεις δεδομένων της επιχείρησης και στους υπολογιστές τους (50% και 42% αντίστοιχα).
Oι ίδιοι υπάλληλοι ευθύνονται για τη διαρροή πληροφοριών
Όσον αφορά τα φαινόμενα διαρροής πληροφοριών, για πρώτη φορά διαφαίνεται πως οι υπάλληλοι μιας επιχείρησης είναι η βασική αιτία, αποτελώντας τη βασική απειλή για την Ασφάλεια των Πληροφοριών. Η περισσότεροι από τους ερωτηθέντες (69%) εκφράζουν την πεποίθηση ότι τόσο οι πρώην όσο και οι νυν υπάλληλοι μιας επιχείρησης αποτελούν την πλέον συνηθισμένη πηγή παραβιάσεων, με τους hackers να έρχονται δεύτεροι (41%). Διαπιστώνεται, λοιπόν, πως τα δεδομένα έχουν κατά πολύ αλλάξει από το 2005, όπου οι hackers κατείχαν την πρωτοκαθεδρία με ποσοστό 63%, ενώ η εσωτερική απειλή (υπάλληλοι) ήταν στο 33%. Το ηλεκτρονικό ταχυδρομείο (email) και η κακόβουλη χρήση έγκυρων λογαριασμών πρόσβασης σε συστήματα θεωρούνται οι βασικές μέθοδοι παραβιάσεων. Ωστόσο, μόνο το 52% των ερωτηθέντων υιοθετούν μεθόδους ασφαλείας που αφορούν στο προσωπικό. Απλά μέσα προστασίας, όπως η προσκόμιση ποινικού μητρώου των εργαζομένων (52%), η παρακολούθηση της χρήσης του Internet και των διαφόρων πληροφοριών (48%) και η ενημέρωση του προσωπικού με προγράμματα σχετικά με τις πολιτικές και διαδικασίες (47%) παραμένουν σε σχετικά χαμηλά επίπεδα.
Tαυτότητα έρευνας
Η έρευνα διενεργήθηκε ηλεκτρονικά από 6 Μαρτίου έως 4 Μαΐου 2007. Αναγνώστες των περιοδικών CIO και CSO, καθώς και πελάτες της PricewaterhouseCoopers από όλο τον κόσμο κλήθηκαν να συμμετάσχουν στην έρευνα μέσω email. Τα αποτελέσματα που εμφανίζονται σε αυτήν την έρευνα έχουν βασιστεί στις απαντήσεις περισσότερων από 7.200 Γενικούς Διευθυντές, Οικονομικούς Διευθυντές, Διευθυντές Πληροφορικής και Διευθυντές Ασφαλείας, Αντιπροέδρους και στελέχη Πληροφορικής και Ασφάλειας Πληροφοριών, από περισσότερες από 100 χώρες. Το 36% των ερωτηθέντων προέρχονται από τη Β. Αμερική, 28% από την Ευρώπη, 23% από την Ασία, 12% από τη Ν. Αμερική και 2% από τη Μ. Ανατολή και τη Ν. Αφρική.