Companiile din România investesc în securitatea informatică impulsionate în principal de cerințele de reglementare și într-o măsură mai mică de conștientizarea la nivelul organizațiilor a amenințărilor de securitate cibernetică, arată un studiu realizat de PwC România și Microsoft. Companiile active pe piețe puternic reglementate, așa cum este sectorul financiar spre exemplu, sunt de obicei mai bine pregătite pentru a face față unor amenințări cibernetice.
Aproape 60% dintre companiile intervievate au în plan să majoreze bugetul de securitate informatică în următorul an financiar, iar 20% mizau pe menținerea bugetului la nivelul actual, în vreme ce 23% dintre companii nu aveau încă o idee clară despre bugetul viitor, potrivit studiului Security in the Digital World.
Având în vedere că 40% dintre companiile românești intervievate au arătat că nu au o strategie de securitate informatică formal adoptată, în vreme ce doar 10% au atins nivelul necesar de maturitate organizațională în care strategia este definită, implementată și optimizată, sondajul arată că securitatea informatică este un subiect încă nu pe deplin înțeles și susținut la nivelul Consiliilor de Administrație ale companiilor.
"Directorul de securitate informatică pare că nu este auzit la nivelul Consiliilor de Administrație, cu excepția situațiilor în care organizația se confruntă cu o criză sau cu o reglementare legislativă în domeniu. Aceștia au nevoie de mai mult sprijin, inclusiv prin angajarea mai multor resurse sau servicii de securitate informatică din partea unor furnizori specializați, având în vedere că, în prezent, tehnologia este un subiect care privește întreaga organizație, iar riscurile de securitate informatică sunt de fapt riscuri pentru întreaga afacere", a declarat Mircea Bozga, Partener, Servicii de Risk Assurance, PwC România.
Expertiza de securitate informatică este de asemenea limitată, ca urmare a faptului că organizațiile din România se bazează în continuare preponderent pe resursele interne, inerent limitate. Acest lucru este o caracteristică a piețelor emergente, în vreme ce organizațiile mai mature din economiile dezvoltate se bazează mai mult pe furnizori specializați de servicii de securitate informatică. Pe măsură ce companiile din România se dezvoltă și se confruntă cu amenințări de securitate informatică din ce în ce mai sofisticate, precum și cu cerințe de reglementare din ce în ce mai stricte, este probabil să vedem tot mai multe companii să adreseze aceste provocări apelând la serviciile unor firme specializate de securitate informatică, sau să exploreze beneficiile oferite de serviciile de cloud computing.
În ceea ce privește provocările de securitate informatică, 87% dintre respondenți au declarat că sunt preocupați de scurgerile de date, 73% sunt îngrijorați de atacurile de tip malware (inclusiv ransomware), 70% de potențialele întreruperi ale activității companiei ca urmare a unor incidente de securitate informatică, iar 70% sunt preocupați să asigure protecția organizației de atacurile țintite.
"Cu mai puțin de 1 an până la intrarea în vigoare a Directivei Europene pentru Protecția Datelor (GDPR), aceasta a început să devină o preocupare pentru companiile locale. Cu toate acestea, foarte puțini respondenți au creat deja un plan de acțiune în ceea ce privește conformarea cu cerințele GDPR", a declarat Oana Terteleac, Digital Sales Incubation Unit Lead Microsoft Romania.
În privința factorilor care pot avea un impact pozitiv asupra securității informatice a organizațiilor, marea majoritate a respondenților s-a concentrat pe creșterea nivelului de conștientizare în rândul angajaților în privința amenințărilor informatice (inclusiv prin programe de training), și de asemenea pe creșterea nivelul de înțelegere și de sprijin al consiliilor de administrație pentru îmbunătățirea securității informatice. Un alt factor pozitiv este considerat aplicarea cerințelor cadrului de reglementare specific (77%). Acest lucru ar putea să reflecte cerințele de reglementare tot mai stricte cu care se confruntă organizațiile, îndeosebi pe piețele puternic reglementate.
Nevoia de a angaja resurse adiționale (67%) și de a face schimb de informații și de bune practici cu alți jucători din domeniu (57%) au fost de asemenea invocate de către o bună parte dintre respondenți ca fiind factori importanți sau foarte importanți pentru îmbunătățirea securității informatice. Acest lucru pare să reflecte faptul că echipele de securitate informatică din companiile românești se confruntă cu un deficit de personal specializat, precum și speranța că se poate învăța din experiența altor organizații.
În privința infrastructurii de securitate informatică, se disting 3 zone prioritare pentru respondenți, cu accent pe data backup și data recovery, DLP și IAM.
Cei mai mulți respondenți ar prefera să investească în sisteme de data backup și data recovery (20%), în îmbunătățirea accesului pentru sistemele de management al accesului la rețelele informatice (19%), în soluții de prevenție a scurgerilor de date (16%). Acest lucru poate să reflecte preferința respondenților de a investi în domenii care au un impact major și rapid în situația lor de securitate informatică, sistemul de protecție și acces la date.
Mai bine de două treimi dintre respondenți folosesc o soluție de Data Loss Prevention (DLP), iar acest lucru arată că DLP a devenit o măsură standard de securitate informatică, similară sistemelor antivirus. Pe de altă parte, aproape o cincime dintre respondenți au indicat că nu folosesc o soluție DLP. O posibilă explicație pentru acest lucru poate să fie lipsa unei politici interne de securizare a informației.
O provocare care concentrează interesul respondenților este modul în care companiile adresează controlul accesului la rețele. În întreaga organizație, gestionarea identităților și controlul accesului la rețea încurajează tot mai multe companii să implementeze soluții de Identity Access Management « IAM », aproape două treimi dintre respondenți precizând că au implementat sau intenționează să implementeze astfel de soluții pentru a gestiona accesul la rețelele informatice în întregul „ecosistem” tehnologic.
Pentru a-și îmbunătăți securitatea informatică, PwC și Microsoft recomandă organizațiilor luarea în considerare a următoarelor măsuri:
- Să aibă resurse adecvate (personal specializat, folosind tehnologia adecvată și acționând conform unor procese validate) cât și tehnologie și procese testate) care să raporteze Directorului de Securitate Informatică (CISO – Chief Information Security Officer). Acest CISO ar trebui să raporteze direct Consiliului de Administrație sau unuia dintre membrii Consiliului de Administrație.
- Să deruleze evaluări periodice ale riscurilor și vulnerabilităților de securitate informatică, inclusiv ale strategiei de securitate informatică, folosind furnizori independenți specializați.
- Să facă o evaluare atentă a serviciilor de cloud computing pentru a identifica beneficiile potențiale de securitate, confidențialitate și conformitate cu standardele legale și recomăndările cele mai actuale.
- Să investească în trainingul angajaților și în programe de informare a acestora în privința riscurilor de securitate informatică. Acest lucru este un factor crucial în orice program de securitate IT.
- Să existe un plan robust de continuitate a activității companiei și exerciții periodice – pentru a se asigura că sistemele și serverele cheie pot fi repornite rapid folosind back-up-uri, iar frecvența acestor procese de back-up să fie aliniată volumului de date pe care organizația dumneavoastră este pregătită să-l piardă în cazul în care un sistem devine inutilizabil.
- Să existe un plan de criză și de răspuns la incidentele de securitate informatică – asigurându-se că există proceduri standard prin care angajații și cei responsabili de gestionarea incidentelor critice sunt pregătiți să implementeze reacția standard a organizației la evenimente neprevăzute și să repornească în cel mai scurt timp activitatea, atât pentru angajați, cât și pentru clienți.
- Politici puternice de „igienă” a securității informatice și de creștere a gradului de conștientizare al angajaților - prevenirea atacurilor de tip malware care pot afecta sistemul IT prin cel mai frecvent instrument de răspândire, atacurile de tip phishing, prin adoptarea unor reglementări stricte a sistemelor de e-mail și prin alertarea angajaților prin campanii de conștientizare și informare.
- Un management riguros și robust al update-urilor programelor software (patch-uri și versiuni actuale) pentru a reduce posibilitatea utilizării unor vulnerabilități.
Raportul “Security in the Digital World” a fost realizat de echipa de securitate informatică a PwC la cererea Microsoft România. Sondajul se bazează pe răspunsurile venite din partea a 30 de companii active în România au fost colectate în perioada martie-aprilie 2017. 76% dintre companiile respondente au mai mult de 500 de angajați.