Podle Průzkumu bezpečnosti informací prováděného firmou Ernst & Young v roce 2004 se musí ředitelé více snažit čelit vnitřnímu ohrožení bezpečnosti informací
Průzkum firmy Ernst & Young, jedné z předních firem poskytujících odborné poradenské služby, zjistil, že organizace po celém světě se nechrání proti stále většímu ohrožení bezpečnosti svých informací.
Průzkum bezpečnosti informací provedený společností Ernst & Young Global v roce 2004 zjistil, že si vedoucí manažeři společností stále silněji uvědomují riziko, které pro bezpečnost informací představují zaměstnanci jejich vlastní organizace. Přesto však na základě tohoto poznatku nic nepodnikají. Více než 70 % z 1233 organizací zastupujících některé vůdčí firmy v 51 zemích neuvedlo školení pracovníků a zvyšování jejich povědomí v oblasti bezpečnosti informací jako svou hlavní iniciativu. Tato zjištění se neliší od závěrů Průzkumu stavu informační bezpečnosti v ČR PSIB 2003, který byl proveden v roce 2003 ve spolupráci Ernst & Young, časopisu DSM a Národního bezpečnostního úřadu. Podle tohoto průzkumu pořádá pravidelná školení svých zaměstnanců v oblasti informační bezpečnosti jen 21 % společností.
„S posunem organizací ke stále decentralizovanějším obchodním modelům prostřednictvím outsourcingu a dalších externích partnerství je pro firmy stále obtížnější zachovat si kontrolu nad bezpečností svých informací a pro nejvyšší vedení společností pochopit úroveň rizika, jemuž jsou vystaveni,“ řekl Martin Smekal, partner oddělení služeb v oblasti technologických a bezpečnostních rizik Ernst & Young v České republice
„Společnosti mohou zadávat práci externě, ale zodpovědnost za bezpečnost externě zadat nelze,“ zhodnotil situaci Edwin Bennett, globální ředitel oddělení služeb v oblasti technologických a bezpečnostních rizik firmy Ernst & Young. „Méně než jedna třetina společností provádí pravidelné hodnocení svých poskytovatelů IT a sledování toho, jak dodržují zásady bezpečnosti informací – jednoduše se spoléhají na důvěru. Organizace ale musí od svých obchodních partnerů vyžadovat vyšší úroveň bezpečnosti,“ dodal Edwin Benett.
„Tato zjištění jsou bohužel plně platná i pro prostředí České republiky. I dnes mnoho smluv s externími poskytovateli IT služeb neobsahuje ustanovení o způsobu pravidelného hodnocení a v mnoha případech vůbec neumožňuje provádět nezávislý bezpečnostní audit tohoto poskytovatele,“ řekl Martin Smekal.
Průzkum Ernst & Young ukazuje, že organizace se nadále soustřeďují na externí hrozby, jako jsou viry, zatímco interní hrozby jsou trvale nedostatečně zdůrazňovány. Společnosti jsou okamžitě ochotny nakupovat technologii, bezpečnostní brány firewall či ochranu proti virům, ale váhají zařadit mezi priority i lidský kapitál.
Zatímco se pozornost veřejnosti nadále soustředí na externí hrozby, společnosti jsou vystaveny mnohem většímu riziku škody způsobené zevnitř nevhodným chováním, opomenutím, přehlédnutím nebo organizační kulturou porušující stávající normy. Protože mnohé interní bezpečnostní incidenty jsou utajené, organizace si často ani nejsou vědomy toho, že se staly obětí. „Příliš mnoho organizací má pocit, že bezpečnost informací nemá hodnotu, dokud nedojde k viditelnému útoku. Toto vnímání se nezměnilo za celých 10 let, po které firma Ernst & Young tento průzkum provádí,“ řekl Edwin Benett.
Podle Edwina Benetta by společnosti měly více zdůrazňovat vytváření kultury vnímající bezpečnost včetně nastavení toho správného „tónu shora“, což je podstatné pro změnu způsobu, jakým organizace přistupují k bezpečnosti informací. „Společnosti mohou změnit svůj pohled na bezpečnost informací a přistupovat k ní jako ke způsobu, jak lze získat konkurenční výhody a zachovat hodnotu pro akcionáře, a ne ji považovat jen za nutný výdaj spojený s podnikáním,“ podotkl Edwin Benett.
„V čele této přeměny musí být viditelný posun v přístupu ze strany ředitele a představenstva společnosti. V současnosti pouze 20 procent organizací považuje bezpečnost informací za prioritu na úrovni ředitele. Společnosti by mohly a měly udělat více pro zlepšení bezpečnostního povědomí a znalostí svých zaměstnanců, kteří často představují nejzranitelnější místo v organizaci a přeměnit je naopak na nejsilnější obrannou vrstvu,“ dodal Edwin Benett.
„Míru důležitosti vnímání důležitosti informační bezpečnosti v České republice ze strany vedení společností lze například dokumentovat na faktu, že, podle zjištění PSIB 2003, pouhých 15% organizací má informační bezpečnost vyhrazen samostatný rozpočet. Tento podíl se přitom za poslední 2 roky nezměnil,“ zhodnotil přístup českých podniků k vnitřní bezpečnosti Martin Smekal.
Poznámka pro editory
1. Firma Ernst & Young publikovala svůj první roční průzkum bezpečnosti informací v roce 1993.
2. Elektronická kopie Průzkumu bezpečnosti informací firmy Ernst & Young Global za rok 2004 je k dispozici na adrese http://www.ey.com/globalsecuritysurvey
O Ernst & Young
Ernst & Young se řadí k předním světovým společnostem poskytujícím poradenské služby. Kromě jiného si za svůj cíl vytkla obnovit důvěru v tyto společnosti a v kvalitu finančního výkaznictví. Zaměstnává 103 tis. lidí ve více než 140 státech, kteří svým klientům poskytují integrované, vysoce kvalitní a specializované poradenské služby v oblasti finanční, transakční a řízení rizik. Nabízená řešení jsou založena na znalostech a zkušenostech, které má společnost Ernst & Young s problematikou auditu, daní a transakcí. V těch státech, kde je to dovoleno, společnost Ernst & Young poskytuje také právní služby. Další informace o společnosti Ernst & Young a jejím přístupu k různým podnikatelským záležitostem jsou uvedeny na internetové stránce www.ey.com/perspectives. Společnost Ernst & Young zde zahrnuje všechny členy globální organizace Ernst & Young.
