SG.hu
A Deloitte & Touche felmérése a pénzügyi szektor információbiztonságáról
A Deloitte & Touche felmérése (Global Security Survey) segítséget nyújt a pénzügyi intézményeknek, hogy felmérjék a náluk tárolt információk és adatok biztonságát, összehasonlítva más pénzintézetekkel. A felmérés a következő kérdésre keresi a választ: "Miben hasonlít vagy tér el egy adott pénzintézet adatbiztonsági rendszere a versenytársakétól?"
A kutatás a Deloitte Touche Tohmatsu információbiztonsággal és titoktartással foglalkozó szakemberei és globális pénzügyi intézmények információtechnológiai (IT) vezetői között lezajlott megbeszélések eredményeit közli. A válaszadók 22%-a európai, közel-keleti és afrikai országokból került ki (EMEA), 14% ázsiai és csendes-óceáni ország (APAC). 12% képviselte a latin-amerikai és karibi államokat (LACRO), 16%-uk kanadai, 36%-uk pedig az Egyesült Államokból való.
A felmérés legfontosabb következtetései
A válaszadók aggódva figyelik, hogy a számítógépes rendszereiket fenyegető veszélyek egyre kifinomultabbak - és e félelmeik valósak. A Global Security Survey-re válaszolók jelentős hányada - 39%-a - elismerte, hogy az elmúlt évben valamilyen módon veszélyeztették a rendszerüket.
A résztvevők tisztában vannak a munkaerő tudatosságnövelésének és oktatásának fontosságával. Egy erőteljes és hatékony tudatosságnövelő és oktató programra - amely irányítja a vezetés és a dolgozók tevékenységét is - úgy tekintenek, hogy az pozitívan járul hozzá olyan problémák kezeléséhez, mint személyes információk kiszolgáltatása, illetve azokkal való visszaélés, vagy bizalmas dokumentumok veszélyeztetése.
A jelentési relációk kulcsszerepet játszanak az információbiztonsági funkció fontosságának megítélésében. Napjainkig az információbiztonsági feladatkör felelőse az IT osztályon belül tett jelentést egy, a hatalmi létra viszonylag alacsony fokán álló személynek. A kilencvenes évek közepén innovatív gondolkodású szervezetek megalapították az első olyan információbiztonsági egységeket, amelyek függetlenek voltak az IT-től, és azzal azonos szinten tartoztak jelentéssel az információért felelős igazgatónak. A felmérésben résztvevő intézmények több mint 61%-a válaszolta, hogy alkalmaznak biztonsági, illetve információbiztonsági igazgatót, további 14%-uknál pedig egynél többen dolgoznak ilyen beosztásban.
Az IT-biztonságra fordított pénzek a teljes IT költségvetés százalékában elenyésző, többnyire egyszámjegyű százalékot képviselnek.
Az információbiztonsági funkciókból hiányoznak a kulcsfontosságú teljesítményjelzők (Key Performance Indicators - KPI). Amíg az adatbiztonsági, illetve biztonsági igazgatóknak megvannak a saját elképzeléseik ezen teljesítményjelzőkről, addig véleményük szerint az üzleti vezetésnek nincsenek világos elvárásai.
A személyzeti munka hagyományos megközelítése elavult, és egy újabb modellnek kell a helyére lépnie. Ezeknek az intézményeknek az információ-készlete nagy értéket képvisel (kutatás-fejlesztés, pénzügyi tranzakciók stb.). Ennek ellenére sok esetben, és minden ipari szektorban, az információbiztonsági személyzetet jelentősen leépítették a komoly gazdasági visszaesés következményeként.
A biztonsági eszközök sokfélesége hozzájárul az egységesített védelmi programok hiányához. Adatbiztonsági szakértők elismerik, hogy jó néhány új megoldás létezik azon problémák megoldására, amelyekkel a szervezeteknek szembe kell nézniük. A legtöbb azonban nem eléggé integrált ahhoz, hogy egy komoly megoldáscsomagot alkosson.
Nem világos, hogy milyen hatással vannak a szaporodó vállalatirányítási kezdeményezések az információbiztonságra. Számos vállalatvezetési kezdeményezés születik szerte a világon. Míg ezek nagy része nagyobb hangsúlyt fektet új szabályozók bevezetésére, és a vezetésre hárítja a feladatot, hogy kifejezze pénzügyi információik sértetlenségét és értelmezését, nem világos, hogy az információbiztonsági funkciótól milyen szerepet várnak el ennek támogatásában.
Valamennyi válaszadó közül az EMEA régióbeli szervezeteknek okoznak a legtöbb fejtörést az eltérő törvények és szabályozások, ami nem meglepő, tekintve a nyelvek sokféleségét és az országok számát a térségben. A válaszadók szerint ebben a régióban a minősített biztonsági erőforrások hiánya okozza a legnagyobb gondot. Szintén az EMEA régió az, ahol az eltérő biztonsági funkciók összehangolása a legnagyobb hangsúlyt kapta.
A LACRO régióban tevékenykedő intézményekhez hasonlóan a legkisebb aktivitást mutatták olyan területeken, mint az etikai vétségek, a hálózatba való illetéktelen behatolás vizsgálatának módszerei, az üzleti folytonosság tervezése (BCP), a válság utáni helyreállítás tervezése (DRP) és vizsgálata. Ezzel szemben az amerikai vállalatok a BCP és DRP területén a legmagasabb pontszámokat érték el - ez érthető a 2001. szeptember 11-i események után.
Az ázsiai és csendes-óceáni országok fordítanak legtöbb gondot a biztonságra szánt költségvetésre. Noha élen járnak az igazgatósági szolgáltatási technológiák bevezetésében, a legkevésbé fontos számukra a különböző termékek interoperabilitása, és a legkevésbé érdeklik őket az ún. "egyszeri szerződtetések" és az ellátási megoldások. E tekintetben nagyban hasonlítanak a LACRO országokból származó intézményekre.
Az utóbbiak utaltak egyébként leggyakrabban az információbiztonságért, illetve biztonságért felelős igazgató hiányára az intézményen belül, ami jelzi, hogy ez a régió még kevéssé fejlett az adat- (információ) védelem terén. Meglepő módon a válaszadók közül ezek a szervezetek alkalmazzák leggyakrabban a biometria módszereit és a biztonsági keretszabványokat (pl. BS7799), míg az USA-beli intézményeknél a legkevésbé elterjedt a biometria és az alapvető közösségi infrastruktúra (Public Key Infrastructure - PKI), valamint a fizikai biztonsági eszközök használata.
Az észak-amerikai intézmények meglehetősen nagy különbségeket mutattak a többi térséghez képest. A kanadai és egyesült államokbeli válaszadók egyaránt magas értéket értek el az eszközhasználat és az új technológiák adaptálása, valamint az etikai vétségek és az illetéktelen behatolások ellenőrzése terén, viszont a legkisebb arányban alkalmazzák a Veszélykockázati Elemzés szabályait.
A kanadai válaszadók jelentették a legnagyobb mértékű együttműködést a pénzügyi intézmények között, köszönhetően elsősorban az Interac-nak, amely egy, az öt legnagyobb bank és két másik szerv, a Confédération des caisses populaires et d’économie, és a Credit Union Central of Canada által irányított szervezet, amelyen keresztül a tagok hozzáférhetnek az ABM (aszinkron szimmetrizált üzemmód) és EFTPOS (elektronikus átutalás) hálózatokhoz. Meglepő módon a kanadai válaszadók képviselték az egyetlen régiót, ahol a vírusellenes eszközöknek lényegesen kevesebb, mint 100%-át használják. Nem véletlenül, az USA-beli szervezetek képviselik a fejlettség legmagasabb fokát, néhány kivétellel, mint például a biztonsági szabványok adaptálása, a titoktartás és bizonyos technológiák alkalmazása.
Simor András, a magyarországi Deloitte & Touche elnök-vezérigazgatója a következőket fűzte a felmérés eredményeihez: "Az üzleti élet globalizálódása, a technológia rohamos fejlődése, az attól való függés és a pénzügyi intézményeket elősegíteni hivatott megbízható és biztonságos környezet fenntartása mind azt követelik a pénzügyi szolgáltató szervezetektől, hogy a megfelelő mechanizmusokkal biztosítsák az egészséges és megbízható védelmet és titoktartást. Azért végeztük el ezt a felmérést, hogy egy globális képet adjunk arról, hogy a vezető pénzügyi szervezetek hogyan kezelik a biztonság és a titoktartás kritikus területeit, és hogy elismertessük ezen információ fontosságát a pénzügyi szolgáltató ipar számára."
A kutatás a Deloitte Touche Tohmatsu információbiztonsággal és titoktartással foglalkozó szakemberei és globális pénzügyi intézmények információtechnológiai (IT) vezetői között lezajlott megbeszélések eredményeit közli. A válaszadók 22%-a európai, közel-keleti és afrikai országokból került ki (EMEA), 14% ázsiai és csendes-óceáni ország (APAC). 12% képviselte a latin-amerikai és karibi államokat (LACRO), 16%-uk kanadai, 36%-uk pedig az Egyesült Államokból való.
A felmérés legfontosabb következtetései
Valamennyi válaszadó közül az EMEA régióbeli szervezeteknek okoznak a legtöbb fejtörést az eltérő törvények és szabályozások, ami nem meglepő, tekintve a nyelvek sokféleségét és az országok számát a térségben. A válaszadók szerint ebben a régióban a minősített biztonsági erőforrások hiánya okozza a legnagyobb gondot. Szintén az EMEA régió az, ahol az eltérő biztonsági funkciók összehangolása a legnagyobb hangsúlyt kapta.
A LACRO régióban tevékenykedő intézményekhez hasonlóan a legkisebb aktivitást mutatták olyan területeken, mint az etikai vétségek, a hálózatba való illetéktelen behatolás vizsgálatának módszerei, az üzleti folytonosság tervezése (BCP), a válság utáni helyreállítás tervezése (DRP) és vizsgálata. Ezzel szemben az amerikai vállalatok a BCP és DRP területén a legmagasabb pontszámokat érték el - ez érthető a 2001. szeptember 11-i események után.
Az ázsiai és csendes-óceáni országok fordítanak legtöbb gondot a biztonságra szánt költségvetésre. Noha élen járnak az igazgatósági szolgáltatási technológiák bevezetésében, a legkevésbé fontos számukra a különböző termékek interoperabilitása, és a legkevésbé érdeklik őket az ún. "egyszeri szerződtetések" és az ellátási megoldások. E tekintetben nagyban hasonlítanak a LACRO országokból származó intézményekre.
Az utóbbiak utaltak egyébként leggyakrabban az információbiztonságért, illetve biztonságért felelős igazgató hiányára az intézményen belül, ami jelzi, hogy ez a régió még kevéssé fejlett az adat- (információ) védelem terén. Meglepő módon a válaszadók közül ezek a szervezetek alkalmazzák leggyakrabban a biometria módszereit és a biztonsági keretszabványokat (pl. BS7799), míg az USA-beli intézményeknél a legkevésbé elterjedt a biometria és az alapvető közösségi infrastruktúra (Public Key Infrastructure - PKI), valamint a fizikai biztonsági eszközök használata.
Az észak-amerikai intézmények meglehetősen nagy különbségeket mutattak a többi térséghez képest. A kanadai és egyesült államokbeli válaszadók egyaránt magas értéket értek el az eszközhasználat és az új technológiák adaptálása, valamint az etikai vétségek és az illetéktelen behatolások ellenőrzése terén, viszont a legkisebb arányban alkalmazzák a Veszélykockázati Elemzés szabályait.
A kanadai válaszadók jelentették a legnagyobb mértékű együttműködést a pénzügyi intézmények között, köszönhetően elsősorban az Interac-nak, amely egy, az öt legnagyobb bank és két másik szerv, a Confédération des caisses populaires et d’économie, és a Credit Union Central of Canada által irányított szervezet, amelyen keresztül a tagok hozzáférhetnek az ABM (aszinkron szimmetrizált üzemmód) és EFTPOS (elektronikus átutalás) hálózatokhoz. Meglepő módon a kanadai válaszadók képviselték az egyetlen régiót, ahol a vírusellenes eszközöknek lényegesen kevesebb, mint 100%-át használják. Nem véletlenül, az USA-beli szervezetek képviselik a fejlettség legmagasabb fokát, néhány kivétellel, mint például a biztonsági szabványok adaptálása, a titoktartás és bizonyos technológiák alkalmazása.
Simor András, a magyarországi Deloitte & Touche elnök-vezérigazgatója a következőket fűzte a felmérés eredményeihez: "Az üzleti élet globalizálódása, a technológia rohamos fejlődése, az attól való függés és a pénzügyi intézményeket elősegíteni hivatott megbízható és biztonságos környezet fenntartása mind azt követelik a pénzügyi szolgáltató szervezetektől, hogy a megfelelő mechanizmusokkal biztosítsák az egészséges és megbízható védelmet és titoktartást. Azért végeztük el ezt a felmérést, hogy egy globális képet adjunk arról, hogy a vezető pénzügyi szervezetek hogyan kezelik a biztonság és a titoktartás kritikus területeit, és hogy elismertessük ezen információ fontosságát a pénzügyi szolgáltató ipar számára."