Serdecznie zapraszamy do zapoznania się z wynikami badania przeprowadzonego na potrzeby raportu ITwiz Cybersecurity 2016.
Najciekawszym, a jednocześnie najbardziej niepokojącym sygnałem płynącym z przeprowadzonej ankiety, jest fakt, że prawie wszyscy respondenci (89%) dostrzegają brak odpowiedniej edukacji wśród użytkowników firmowych rozwiązań IT w skutecznej walce z cyberprzestępcami. Ponad połowa z przebadanych (63%) uważa wręcz, że polskie firmy cierpią na deficyt odpowiednio przeszkolonych specjalistów ds. bezpieczeństwa. Jakie mogą być tego konsekwencje?
Przede wszystkim powyżej opisana sytuacja wpłynie na wzrost planowanych inwestycji w edukację wśród użytkowników firmowych rozwiązań IT (55%). Musimy pogodzić się z faktem, że człowiek nadal pozostaje najsłabszym ogniwem w tym skomplikowanym mechanizmie zachowania ochrony danych cyfrowych – bez odpowiedniej wiedzy zawsze będzie narażony na różnego rodzaju socjotechnikę, stając się tym samym łatwym celem ataku oraz punktem wejścia do dowolnej organizacji. Dziś edukacja dotycząca poprawnego obsługiwania systemów informatycznych, walka z lekceważeniem i niestosowaniem się do procedur zachowania cyberbezpieczeństwa w organizacji, a także opracowanie odpowiedniej strategii mającej zwiększyć skuteczność obrony powinno być priorytetem dla wszystkich firm – nie tylko wielkich rynkowych graczy, lecz także średnich, małych i jednoosobowych przedsiębiorstw. Na szali nie jest już tylko utrata reputacji, lecz również przerwanie ciągłości działania firmy, a w najgorszych przypadkach nieodwracalna utrata gromadzonych przez lata krytycznych danych stanowiących fundament działania biznesu.
Edukacja to nie jedyny aspekt wart uwagi
Jaki obraz stanu bezpieczeństwa cyfrowego firm działających w Polsce wyłania się z przeprowadzonych badań?
- WYDATKI. Połowa firm (50%) nie planuje zwiększenia wydatków na rozwiązania podnoszące cyberbezpieczeństwo, mimo że według większości ankietowanych (86%) liczba incydentów związanych z naruszeniem bezpieczeństwa wzrosła w ciągu ostatniego roku.
- STRATEGIA. W trzech czwartych przedsiębiorstw (77%) strategia w zakresie cyberbezpieczeństwa obejmuje politykę i organizację bezpieczeństwa informacji oraz kontrolę dostępu (73%). Nie mniej ważne są zarządzanie systemami i sieciami (71%), bezpieczeństwo fizyczne i środowiskowe (62%) oraz rozwój i utrzymanie systemów IT (63%).
- ODPOWIEDZIALNOŚĆ. W prawie połowie polskich firm (48%) nie ma osoby, która zajmowałaby się cyberbezpieczeństwem.
- WIRTUALIZACJA. Wirtualizacja w polskich organizacjach ogranicza się do korzystania z wirtualnych serwerów (79%). Przedsiębiorstwa wciąż wstrzymują się przed wirtualizacją desktopów (z tego rozwiązania korzysta zaledwie 21% firm), wirtualizacją pamięci masowych (23%) oraz wirtualizacją sieci (22%). Z wirtualizacji nie korzysta 17% organizacji.
- CHMURA OBLICZENIOWA. Prawie połowa polskich firm nie korzysta z chmury obliczeniowej (47%).
Z powyższych danych wynika, że organizacje są rozczarowane dotychczasowym podejściem do bezpieczeństwa typu best of breed. Coraz bardziej skomplikowane zagrożenia wymagały stosowania coraz bardziej wyspecjalizowanych produktów, które – jak się okazuje – nie były w stanie współpracować ze sobą w szerszym kontekście. Pomimo posiadania różnorodnych rozwiązań, specjaliści nie byli w stanie skutecznie działać w sytuacji konkretnego ataku. Cóż może bardziej zniechęcić do dalszych inwestycji?
Należy przemyśleć sprawę zatrudnienia osoby, której głównym zadaniem byłoby utrzymanie cyberbezpieczeństwa organizacji, która byłaby za to rozliczana, ale również posiadała wystarczająca wiedzę, aby bezproblemowo posługiwać się wyspecjalizowanymi narzędziami. Skala obecnych zagrożeń musi wreszcie uświadomić zarządom, że współpraca między działami bezpieczeństwa i infrastruktury nie może polegać na ciągłym konflikcie i negocjacjach. Bezpieczeństwo musi dziś stanowić o rozwoju biznesu, a nie być kojarzone z ograniczeniami i spowolnieniem działania firmy.
Potrzeba utworzenia spójnej platformy bezpieczeństwa
Mówi się głośno o tym, że polskie firmy przenoszą się do chmury, jednak – jak wynika z badań – nadal niemal w połowie przedsiębiorstw brakuje zaufania dla rozwiązań chmurowych, co może wynikać z niezrozumienia modelu współdzielonej odpowiedzialności za bezpieczeństwo tego typu data center. Klienci oczekują od dostawcy usług chmurowych przejęcia całej odpowiedzialności za ochronę danych – w rzeczywistości jest to zupełnie niemożliwe, gdyż wiązałoby się z usztywnieniem samej usługi. Konieczne jest zatem zapewnienie spójnej platformy bezpieczeństwa łączącej zarządzanie zarówno fizycznymi, wirtualnymi, jak i chmurowymi serwerami. Zapewni ona pełną widoczność i kontrolę nad dynamicznie zmieniającym się środowiskiem, gdzie serwery pojawiają się i znikają, przemieszczają pomiędzy różnymi lokalizacjami i gdzie kluczem do sukcesu jest automatyzacja procesów bezpieczeństwa.
* * *
Badanie przeprowadzono w terminie 10 maja – 3 czerwca 2016 roku. Odpowiedzi udzieliło 120 osób odpowiedzialnych za bezpieczeństwo IT w firmach, managerowie oraz inżynierowie działów IT firm z organizacji działających w takich sektorach, jak: telekomunikacja, handel administracja publiczna, finanse i bankowość oraz przemysł.
Autor: Michał Jarski, Regional Sales Director CEE, Trend Micro