Cea mai mare amenințare cu care se confruntă organizațiile o reprezintă furtul de informații financiare, în vreme ce nepăsarea și lipsa de competențe în domeniu ale angajaților constituie principal vulnerabilități ale companiilor față de riscurile de securitate cibernetică, se arată într-un studiu realizat de compania de consultanță EY (Ernst&Young).
Cele mai multe organizaţii (67%) se confruntă cu creşterea nivelului de risc la adresa securităţii informaţiilor interne, iar peste o treime din ele (37%) nu au informații în timp real despre riscurile cibernetice care să le ajute să răspundă acestor ameninţări, se arată în raportul anual EY privind securitatea informațiilor, „Get Ahead of Cybercrime”. Raportul EY are la bază un sondaj la care au participat 1.825 de organizaţii din 60 de ţări.
Companiile sunt lipsite de agilitatea, bugetul şi competenţele necesare pentru remedierea vulnerabilităţilor cunoscute şi pentru o pregătire eficientă pe zona de securitate informatică. 43% din respondenţi au declarat că bugetul total alocat de către organizația lor securității informației va rămâne aproximativ la fel în următoarele 12 luni, în ciuda creşterii numărului de ameninţări, fapt care reprezintă doar o îmbunătăţire minoră a situaţiei faţă de 2013, când 46% au declarat că bugetele lor nu se vor modifica.
Mai mult de jumătate din respondenţi (53%) au afirmat că lipsa resurselor umane calificate reprezintă unul dintre principalele obstacole cu care se confruntă în implementarea unui program eficient de securitate a informaţiilor din organizaţie şi doar 5 la sută din companiile respondente dispun de o echipă de investigare și analiză a ameninţărilor, care include analişti specializați. Aceste date marchează mici diferențe față de anul 2013, când 50% din respondenţi subliniau lipsa resurselor calificate, iar 4% declarau că dispun de o echipă de investigare și analiză la ameninţări care include analişti specializați.
“Angajaţii nepăsători și în necunoștință de cauză“ reprezintă principala vulnerabilitate cu care se confruntă companiile, menționată de 38% din respondenţi, iar “arhitectura sau sistemul învechit de securitate a informaţiilor” şi “folosirea cloud computing-ului” ocupă poziţiile 2 şi 3, cu 35%, respectiv 17%.
“Furtul de informaţii financiare”, “perturbarea și distorsionarea activității organizației” şi “furtul de proprietate intelectuală sau de date” reprezintă principalele trei ameninţări (menționate și ca priorități de 28%, 25% şi, respectiv, 20% din respondenți).
Studiul din acest an arată că organizaţiile trebuie să acționeze mult mai eficient în anticiparea atacurilor cibernetice într-un mediu în care nu mai este posibilă prevenirea tuturor breşelor de securitate, iar ameninţările provin din surse exterioare tot mai diverse şi mai bine finanţate.
Carmen Adamescu, executive director al EY România, a declarat că „organizaţiile trebuie să facă trecerea de la o poziție reactivă la una proactivă, și să se transforme din ţinte uşoare ale criminalilor cibernetici în adversari redutabili ai acestora”. Raportul încurajează organizaţiile să ia în considerare valoarea adăugată pe care o poate aduce companiei zona de securitate a informaţiilor și să o integreze în activitatea principală de business.
Raportul recomandă ca leadership-ul organizaţiilor să ia în considerare riscurile şi ameninţările legate de atacurile cibernetice şi să pună în practică un proces dinamic de luare a deciziilor, care să permită trecerea rapidă la acţiuni de prevenire. De asemenea, este necesar ca, la nivelul conducerii companiilor, să existe o bună cunoaștere a celor mai valoroase active ce trebuie protejate.
Specialiștii mai recomandă exersarea regulată a capacității de răspuns în situații de criză sau incidente și analizarea detaliată a incidentelor de criminalitate informatică.
