NEW YORK, 16.7.2007: Komplexní řízení informační bezpečnosti se i letos stalo výzvou číslo jedna pro většinu firem z celého světa. Na dalších příčkách se objevila snaha o prevenci vnitřních průniků, dále posílení významu bezpečnostních koncepcí a rozšiřování uživatelské informovanosti. Podle letošního společného průzkumu společností Accenture (NYSE: ACN), InformationWeek a CMP Technology tyto výzvy podnítily nárůst výdajů na informační bezpečnost plánovaných ve firmách na příští rok.
V pořadí již desátý každoroční průzkum zahrnujícího téměř tří tisíce IT profesionálů z USA a Číny poukázal na to, že bezpečností výzvy, plány a priority čínských společností se začínají více podobat těm americkým. Čínské organizace zaujímají nyní vůči informační bezpečnosti mnohem sofistikovanější postoj – v příštím roce například očekávají, že výdaje na zlepšení bezpečnosti dosáhnou v průměru 19 % rozpočtu vyhrazeného pro IT. Proti zhruba 12% podílu běžnému v amerických firmách jde orelativně významný nárůst.
,,IT manažeři a bezpečnostní odborníci navzdory současným výdajům na informační bezpečnost i jejich plánovanému navýšení tuto oblast stále ještě dostatečně nekontrolují,“ říká Rob Preston, šéfredaktor Information Week. ,,Tento problém je velmi komplexní , potřeba informační bezpečnosti je doslova všudypřítomná – od samotných počítačů, přes sítě, až po všechny aplikace, což význam této výzvy ještě posiluje.“
Z průzkumu vyplývající údaje a trendy:
- Očekává se, že výdaje na bezpečnost v tomto roce významně porostou. 39 % respondentů v USA a 55 % respondentů v Číně počítá s tím, že jejich výdaje na bezpečnost oproti minulému roku vzrostou.
- IT odborníci v Číně se cítí být ohroženější než jejich kolegové v USA. Celých 58 % respondentů v Číně se domnívá, že jejich firma je snáze napadnutelná zákeřnými kódovanými útoky a bezpečnostními průniky než v minulém roce. Tyto pocity sdílí v USA pouhých 16 % respondentů. Větší zranitelnost je přičítána narůstající sofistikovanosti hrozeb typu SQL Injection, více možným způsobům útoků na firemní sítě, včetně těch bezdrátových, a také zvýšenému počtu útoků.
- Vyhodnocení bezpečnostních rizik a s tím související změny plánů a rozpočtů jsou problémem v obou regionech. Více než 20 % amerických a téměř čtvrtina čínských společností nemapuje bezpečnostní rizika. Z těch, kdo pravidelně možná rizika stanovují, pouze 34 % firem v USA a necelých 39 % v Číně tyto informace využijí ke strategickému řízení rozpočtů a firemních záměrů.
- Vyčíslit hodnotu informační bezpečnosti je složité. Pro 43 % amerických firem má hodnotu několika hodin, které zaměstnanec stráví prací při řešení bezpečnostních úkonů. Vyčíslit efekt investic do bezpečnosti se ani nepokouší 25 % respondentů.
,,Společnosti v USA a Číně vynákládají více prostředků na informační bezpečnost, i když se zdá, že nevědí přesně proč,“ říká Alastair MacWillson, výkonný ředitel bezpečnostní divize Accenture.,,Bez plného porozumění možným rizikům a jejich strategického vlivu na společnost, stejně jako bez systematického měření jejich dopadů je velmi složité pochopit, jak může informační bezpečnost umožnit vyšší obchodní výsledky.“
Odpověď na hrozby a Risk Management
- Mezi předními taktickými bezpečnostními prioritami se pro nadcházející rok jak v USA, tak v Číně, umístily instalace systémů pro kontrolu přístupů, zabezpečení vzdáleného přístupu a instalace monitorovacích aplikací.
- Ve všech regionech představují největší bezpečnostní hrozbu viry a červi. Plných 68 % čínských a 49 % amerických společností bylo napadeno viry, 55 % a 35 % společností (ve stejném pořadí) bylo napadeno červy. Následkem toho uvádí 65 % amerických a 75 % čínských respondentů boj s viry a červy jako jednu ze svých hlavních priorit. Hned za nimi se umístil boj proti spyware či malware a spamu.
- Způsoby útoků se v jednotlivých regionech liší. V minulém roce identifikovalo 43 % amerických a 66 % čínských společností zranitelná místa ve svých operačních systémech. Zneužití zranitelných míst ve svých aplikacích potvrdilo 24 % amerických a 41 % čínských společností. Čínským firmám ještě způsobilo škodu zneužití přístupových kontrol (38 %) a ohrožení databází (30 %). V amerických společnostech není tento typ útoků stejně výrazným jevem (18 % resp. 7 %, v uvedeném pořadí).
V obou regionech považují společnosti počítačové hackery, kodéry a neautorizované uživatele za viníky zodpovědné za loňské bezpečnostní průniky a špionáž. Čínské společnosti se staly oběťmi zneužití veřejných dat pětkrát častěji než americké firmy. Třicet dva procent čínských firem v minulém roce utrpělo škody zveřejněním průniku do jejich dat nebo rovnou ztrátě dat. Tímtéž si v USA prošlo pouze 6 % společností.
V průběhu uplynulých dvanácti měsíců potvrdili respondenti z Číny a USA, že lepší řízení ukládání dat a správa dokumentů výrazně přispěly k dosažení shody s regulačními normami a nařízeními. V USA tomuto napomohla i lepší bezpečnostní infrastruktura, zatímco v Číně mělo pozitivní efekt třídění obsahu e-mailů.
Spojené státy přísněji monitorují aktivity zaměstnanců, polovina společností již monitoruje užívání e-mailu, zatímco v Číne dělá totéž 34 % firem. Plných 40 % amerických respondentů monitoruje prohlížení webových stránek, oproti tomu v Číně jedná stejně je čtvrtina jejich kolegů. V USA monitoruje telefonní hovory 35 % respondentů, v Číně je to 22 %. Naopak téměř shodné je mapování tzv. instant messagingu – 29 % v USA, 30 % v Číně.
Zodpovědnost za bezpečnost
- Hlavní zodpovědnost za bezpečnostní rozpočet a politiku nesou v jednotlivých regionech různé osoby. Výkonní ředitelé (CEO) a prezidenti společností kontrolují bezpečnostní výdaje v 53 % amerických firem, zatímco bezpečnostní politiku tvoří ve většině případů CIOs a ředitelé informačních služeb/IT. Narozdíl od USA určují v Číně bezpečnostní výdaje především Finanční ředitelé a politiku zase výkonní ředitelé (CEO) a prezidenti firem. V obou regionech většina ředitelů pro informační bezpečnost (CISO) informuje primárně výkonné ředitele (CEO) firem.
- Šedesát dva procent čínských firem se pokouší vzájemně integrovat fyzickou a IT bezpečnost. V USA se o totéž snaží 36 % firem.
Cena je rozhodujícím faktorem při výběru bezpečnostních produktů a služeb jak v USA, tak v Číně. Celkem 64 % amerických a 48 % čínských respondentů potvrdilo, že klíčovou úlohu při vybírání bezpečnostního produktu či služby hraje právě cena. Technická kvalita produktu následovala hned za cenou .
Čínské firmy preferují zavedené dodavatele bezpečnostních produktů a služeb. Jejich nabídky nyní využívá 36 % čínských firem a dalších 31 % jejich využití plánuje. V amerických firmách jsou čísla o dost nižší – pouhých 13 resp. 7 %.
Většina amerických firem plánuje letos utratit za bezpečnostní outsourcing stejnou sumu jako loni, zatímco většina čínských společností pro tento rok očekává navýšení svých výdajů za tuto položku. Bezpečnostní outsourcing neplánuje oproti minulému roku rozvíjet66 % americký firem, 27 % firem očekává, že za něj utratí více. V Číně letos plánuje 51 % firem utratit za bezpečnostní outsourcing vyšší částku než loni více a 45 % společností očekává, stejné výdaje jako loni.
Průzkum informační bezpečnosti, společný projekt časopisu Information Week a Accenture, proběhl během května a června roku 2007 a vyhodnotil odpovědi od 1 101 business technology a bezpečnostních profesionálů v USA a 1 991 odborníků v Číně.
Američtí respondenti patří mezi předplatitele časopisu Infomation Week a jeho přidružených listů, v Číně byli osloveni předplatitelé časopisu Information Week China.
