SG.hu
Csak az IT-részlegeket érdekli a biztonság
Bár az információbiztonsági incidensek továbbra is foglalkoztatják a vállalatok vezetőit, az alapproblémák megoldását még mindig az IT feladatának tartják - derült ki a Deloitte Touche Tohmatsu (DTT) közelmúltban kiadott felméréséből.
A 2007-es DTT Globális biztonsági felmérés válaszadóinak kevesebb, mint kétharmada (63%) rendelkezik információbiztonsági stratégiával és mindössze 10%-uk nyilatkozott úgy, hogy az információbiztonság az üzletág-vezetők hatáskörébe tartozik. Ezen eredmények egy kialakulóban lévő biztonsági paradoxonra utalnak: a probléma észlelése és a megoldás biztosítása között szakadék tátong. A felmérésből az is kiderül, hogy a külső behatolások alapvető indítéka még mindig az emberi tényezőben - a társaság alkalmazottai, ügyfelei, harmadik felek és üzleti partnerek terén - keresendő.
"Az idei felmérés ellentmondásos eredményei felhívják a figyelmet a pénzintézeteknél tapasztalható biztonsági paradoxonra" - mondja Szendrey Attila, a magyarországi Deloitte Vállalati kockázatkezelési szolgáltatások üzletágának szenior menedzsere. "Egyértelmű, hogy a pénzintézetek felismerték a fontosabb biztonsági problémákat, valamint a biztonsági és titoktartási eljárásaik fejlesztésének érdekében teendő szükséges lépéseket. Több pénzintézet azonban még mindig késlekedik az intézkedések megvalósítása terén."
A szervezetek számára a támadások során az egyik legaggasztóbb láncszem az ügyfél. A DTT felmérése szerint a három legjelentősebb (leggyakrabban említett) támadás a vírus, a féreg, az e-mailben történő támadás, pl. spam, valamint a phishing (adathalászat/pharming/eltérítéses adathalászat). E támadások mindegyikét ügyfeleken keresztül követik el, pl. az ügyfél akaratlanul bizalmas információt nyújt, vagy felfedi a pénzintézethez vezető csatornát. Ám annak ellenére, hogy a pénzintézeteket közvetlenül érintik az ilyen jellegű támadások, továbbra sem állnak készen arra, hogy ügyfeleik számítógépei biztonságának érdekében lépéseket tegyenek - valószínűleg a feladat nagysága miatt. Arra a kérdésre, miszerint felelősséget kellene-e vállalniuk azon ügyfeleik számítógépeinek védelméért, akik online ügyleteket bonyolítanak velük, a válaszadók kétharmada (66%) nemmel válaszolt.
Az ügyfeleken keresztül elkövetett támadásokon kívül a DTT felmérése nagyszámú olyan visszatérő esetet is felfedett, amelyek az alkalmazottakhoz köthetők: visszaélésből (szándékos tett) illetve hibákból, mulasztásokból (nem szándékos tett) eredően. A válaszadók túlnyomó többsége lehetséges veszélyforrást lát a munkatársakban (91%), és az emberi tényezőt az információbiztonsági hibák fő okának tartja (79%). Hiába ítélik azonban fontos biztonsági veszélyforrásnak a munkatársak hibáit és mulasztásait, a válaszadók közel negyede (22%) nem nyújtott biztonsággal kapcsolatos képzést az alkalmazottak számára az elmúlt évben, és csak harmaduk (30%) állítja, hogy munkatársaik eléggé képzettek, és a biztonsági igényeknek megfelelő készségekkel rendelkeznek.
"E hiányosságok ellenére a probléma felismerése már fél siker, így a pénzintézetek kétségtelenül jó irányban haladnak a hiányosságok pótlása terén" - teszi hozzá Szendrey Attila. Ebben az évben a biztonsággal kapcsolatos képzések és tájékoztatás, az alkalmazottak, ügyfelek és szállítók jogosultságának és azonosíthatóságának kezelése valamint az adatvédelem tartozik a cégek legfontosabb tennivalói közé a folyamatosan változó "támadás-ipar" elleni küzdelemben.
Az e-mailben történt támadások vezetik a pénzintézeteket az utóbbi egy évben érintő külső támadások listáját (65%). A válaszadók kétharmada (66%) nem gondolja, hogy az ő feladata lenne az internetes banki szolgáltatásokat igénybevevő ügyfelek számítógépének védelme. Gyakorlatilag az összes válaszadó (99%) növekvő biztonsági költségvetésről számol be, de 35%-uk szerint információbiztonsági beruházásaik elmaradnak a szükségestől. Az információbiztonsági projektek kudarcának leggyakoribb okaként a megváltozott prioritásokat és az integrációs problémákat említik.
Az összes közül az EMEA régióban a legmagasabb azon válaszadók aránya (39%), akik úgy érzik, rendelkeznek azokkal a képességekkel és kompetenciákkal, amelyek ahhoz szükségesek, hogy hatékonyan tudjanak reagálni a jelenlegi és a várható biztonsági követelményekre. Emellett a résztvevők nagy része (82%-a) véli úgy, hogy a biztonság kérdése már a legfelső vezetés szintjére emelkedett, míg több mint háromnegyedük (77%) gondolja úgy, hogy rendelkezik az előírásoknak való megfelelés biztosításához szükséges elkötelezettséggel és tőkével. Ami pedig a biztonsági incidenseket illeti, az EMEA-n belüli azon cégek százalékos aránya, amelyeknél történt már belső (31%) vagy külső (71%) biztonsági incidens, meghaladja az erre vonatkozó globális átlagokat (rendre 30% és 65%).
Független Államok Közössége - a volt szovjet tagköztársaságok (FÁK): az új régió, amely csak 2007-ben került be a felmérés körébe, és amely 11 korábbi szovjet tagköztársaságból áll, megosztott első helyet szerzett Japán mellett a "cégünk rendelkezik biztonsági stratégiával" kérdésre adott pozitív válaszok aránya tekintetében (75%), ugyanakkor 67%-os eredményével kissé elmarad a 73%-os globális átlagtól a biztonsági szabályok betartásához szükséges kötelezettségvállalások és finanszírozás területén. Az elmúlt 12 hónapban tapasztalt ismételt támadásokra vonatkozó kérdésre 38% nyilatkozta, hogy ismételt belső támadások érték, míg 63% tapasztalt ismételt külső támadásokat.
Ázsia és a csendes-óceáni térség, Japán nélkül (APAC): Az APAC régió válaszadóinak több mint háromnegyede (78%-a) állította, hogy a biztonság kérdése már a legfelső vezetés szintjére emelkedett, mint a gazdálkodás egyik kritikus területe. A pénzintézetek közel ugyanilyen arányban (62%) jelentették ki, hogy alkalmaznak valamilyen biztonsági stratégiát; 77%-uk gondolja úgy, hogy rendelkeznek azzal az elhivatottsággal és tőkével, ami a szabályozási követelményeknek való megfeleléshez szükséges. Ugyanakkor viszont az összes régió közül a legkevesebb válaszadó, a résztvevők csupán 7%-a vélte úgy, hogy rendelkeznek azokkal a képességekkel és kompetenciákkal, amelyek ahhoz szükségesek, hogy hatékonyan meg tudjanak felelni a már érvényben lévő és a várható biztonsági követelményeknek.
Japán: Bár Japán idén elvesztette vezető helyét számos kulcsfontosságú titoktartási és adatbiztonsági kategóriát tekintve, négy területen azonban még mindig világelsőnek számít: a térség: biztonsági stratégia megléte (a válaszadók 75%-a); a titoktartásért felelős ügyvezető megléte (100%); valamint a külső (35%) és belső (13%) biztonsági incidensek legkisebb előfordulási aránya területén. A felmérés szerint azonban a japán pénzintézetek elmaradnak a világ többi hasonló intézményeitől, ha azt nézzük, hogy a biztonsági kérdések mennyire vannak beépítve az IT-alkalmazottak teljesítményértékelésébe (40% az 50%-os globális értékkel szemben), illetve, hogy a felső vezetők és az igazgatósági tagok mennyire tekintenek úgy a biztonságra, mint a gazdálkodás egyik kritikus területére (a válaszadók 71%-a).
Egyesült Államok: Az Egyesült Államok a legtöbb régió előtt jár a biztonsági kérdések többségét tekintve, például az alábbiakban: azon válaszadók száma, akik szerint a biztonság elsőrendű fontosságú a legfelső vezetők és az ügyvezetők körében, mint a gazdálkodás egyik kritikus területe (89%); a szabályozási előírásoknak való megfeleléshez szükséges szervezeti elkötelezettség és tőke (80%); a biztonsági kérdések beépítése az IT-alkalmazottak teljesítményértékelésébe (70%); valamint hogy tartottak-e az alkalmazottak számára legalább egy, biztonsággal és tudatossággal kapcsolatos képzést az elmúlt év során (95%).
Kanada: Kanada az egyik világelső a titoktartás biztosítása terén: a válaszadók túlnyomó többsége (91%-a) állította, hogy cégénél van olyan ügyvezető, aki a titoktartásért felel, míg 80%-uknál érvényben van valamilyen, az adatbiztonsági előírások betartását ellenőrző program. Kanada olyan tekintetben azonban elmarad a világ többi régiójától, hogy ott a legkisebb azon válaszadók aránya, akik úgy érzik, rendelkeznek azzal az elhivatottsággal és tőkével, ami a szabályozási követelményeknek való megfeleléshez szükséges (50%). Ebben a régióban a legalacsonyabb azoknak a pénzintézeteknek a száma is, amelyek rendelkeznek biztonsági stratégiával (27%), miközben a válaszadók egyike sem érezte úgy, hogy szervezetük információbiztonsági stratégiáját felkarolnák, és magukénak éreznék az üzletági és funkcionális vezetők.
Latin-Amerika és a karib-tengeri térség (LACRO): Az elmúlt két évhez hasonlóan a LACRO régióban működő pénzintézetek, úgy tűnik, nem aggódnak különösebben a titoktartási ügyek miatt; ezt bizonyítja, hogy ebben a térségben volt a legalacsonyabb azon válaszadók aránya, akiknél érvényben van valamilyen, az adatbiztonsági előírások betartását ellenőrző program (31%), vagy rendelkeznek olyan ügyvezetővel, aki a titoktartásért felelős (30%). A térség utolsó helyen kullog abban a tekintetben is, hogy a vállalatok tartottak-e alkalmazottaik számára biztonsággal és tudatossággal kapcsolatos képzést az elmúlt év során (61%). A pozitívumok között meg kell említeni, hogy ebben a régióban a legmagasabb azon pénzintézetek aránya, amelyek rendelkeznek valamilyen biztonsági stratégiával (68%), míg a résztvevők túlnyomó többsége (88%) úgy véli, hogy a biztonság a felsővezetés szintjére emelkedett, mint a gazdálkodás egyik kritikus területe.
A 2007-es DTT Globális biztonsági felmérés válaszadóinak kevesebb, mint kétharmada (63%) rendelkezik információbiztonsági stratégiával és mindössze 10%-uk nyilatkozott úgy, hogy az információbiztonság az üzletág-vezetők hatáskörébe tartozik. Ezen eredmények egy kialakulóban lévő biztonsági paradoxonra utalnak: a probléma észlelése és a megoldás biztosítása között szakadék tátong. A felmérésből az is kiderül, hogy a külső behatolások alapvető indítéka még mindig az emberi tényezőben - a társaság alkalmazottai, ügyfelei, harmadik felek és üzleti partnerek terén - keresendő.
"Az idei felmérés ellentmondásos eredményei felhívják a figyelmet a pénzintézeteknél tapasztalható biztonsági paradoxonra" - mondja Szendrey Attila, a magyarországi Deloitte Vállalati kockázatkezelési szolgáltatások üzletágának szenior menedzsere. "Egyértelmű, hogy a pénzintézetek felismerték a fontosabb biztonsági problémákat, valamint a biztonsági és titoktartási eljárásaik fejlesztésének érdekében teendő szükséges lépéseket. Több pénzintézet azonban még mindig késlekedik az intézkedések megvalósítása terén."
A szervezetek számára a támadások során az egyik legaggasztóbb láncszem az ügyfél. A DTT felmérése szerint a három legjelentősebb (leggyakrabban említett) támadás a vírus, a féreg, az e-mailben történő támadás, pl. spam, valamint a phishing (adathalászat/pharming/eltérítéses adathalászat). E támadások mindegyikét ügyfeleken keresztül követik el, pl. az ügyfél akaratlanul bizalmas információt nyújt, vagy felfedi a pénzintézethez vezető csatornát. Ám annak ellenére, hogy a pénzintézeteket közvetlenül érintik az ilyen jellegű támadások, továbbra sem állnak készen arra, hogy ügyfeleik számítógépei biztonságának érdekében lépéseket tegyenek - valószínűleg a feladat nagysága miatt. Arra a kérdésre, miszerint felelősséget kellene-e vállalniuk azon ügyfeleik számítógépeinek védelméért, akik online ügyleteket bonyolítanak velük, a válaszadók kétharmada (66%) nemmel válaszolt.
Az ügyfeleken keresztül elkövetett támadásokon kívül a DTT felmérése nagyszámú olyan visszatérő esetet is felfedett, amelyek az alkalmazottakhoz köthetők: visszaélésből (szándékos tett) illetve hibákból, mulasztásokból (nem szándékos tett) eredően. A válaszadók túlnyomó többsége lehetséges veszélyforrást lát a munkatársakban (91%), és az emberi tényezőt az információbiztonsági hibák fő okának tartja (79%). Hiába ítélik azonban fontos biztonsági veszélyforrásnak a munkatársak hibáit és mulasztásait, a válaszadók közel negyede (22%) nem nyújtott biztonsággal kapcsolatos képzést az alkalmazottak számára az elmúlt évben, és csak harmaduk (30%) állítja, hogy munkatársaik eléggé képzettek, és a biztonsági igényeknek megfelelő készségekkel rendelkeznek.
"E hiányosságok ellenére a probléma felismerése már fél siker, így a pénzintézetek kétségtelenül jó irányban haladnak a hiányosságok pótlása terén" - teszi hozzá Szendrey Attila. Ebben az évben a biztonsággal kapcsolatos képzések és tájékoztatás, az alkalmazottak, ügyfelek és szállítók jogosultságának és azonosíthatóságának kezelése valamint az adatvédelem tartozik a cégek legfontosabb tennivalói közé a folyamatosan változó "támadás-ipar" elleni küzdelemben.
Az e-mailben történt támadások vezetik a pénzintézeteket az utóbbi egy évben érintő külső támadások listáját (65%). A válaszadók kétharmada (66%) nem gondolja, hogy az ő feladata lenne az internetes banki szolgáltatásokat igénybevevő ügyfelek számítógépének védelme. Gyakorlatilag az összes válaszadó (99%) növekvő biztonsági költségvetésről számol be, de 35%-uk szerint információbiztonsági beruházásaik elmaradnak a szükségestől. Az információbiztonsági projektek kudarcának leggyakoribb okaként a megváltozott prioritásokat és az integrációs problémákat említik.
Az összes közül az EMEA régióban a legmagasabb azon válaszadók aránya (39%), akik úgy érzik, rendelkeznek azokkal a képességekkel és kompetenciákkal, amelyek ahhoz szükségesek, hogy hatékonyan tudjanak reagálni a jelenlegi és a várható biztonsági követelményekre. Emellett a résztvevők nagy része (82%-a) véli úgy, hogy a biztonság kérdése már a legfelső vezetés szintjére emelkedett, míg több mint háromnegyedük (77%) gondolja úgy, hogy rendelkezik az előírásoknak való megfelelés biztosításához szükséges elkötelezettséggel és tőkével. Ami pedig a biztonsági incidenseket illeti, az EMEA-n belüli azon cégek százalékos aránya, amelyeknél történt már belső (31%) vagy külső (71%) biztonsági incidens, meghaladja az erre vonatkozó globális átlagokat (rendre 30% és 65%).
Független Államok Közössége - a volt szovjet tagköztársaságok (FÁK): az új régió, amely csak 2007-ben került be a felmérés körébe, és amely 11 korábbi szovjet tagköztársaságból áll, megosztott első helyet szerzett Japán mellett a "cégünk rendelkezik biztonsági stratégiával" kérdésre adott pozitív válaszok aránya tekintetében (75%), ugyanakkor 67%-os eredményével kissé elmarad a 73%-os globális átlagtól a biztonsági szabályok betartásához szükséges kötelezettségvállalások és finanszírozás területén. Az elmúlt 12 hónapban tapasztalt ismételt támadásokra vonatkozó kérdésre 38% nyilatkozta, hogy ismételt belső támadások érték, míg 63% tapasztalt ismételt külső támadásokat.
Ázsia és a csendes-óceáni térség, Japán nélkül (APAC): Az APAC régió válaszadóinak több mint háromnegyede (78%-a) állította, hogy a biztonság kérdése már a legfelső vezetés szintjére emelkedett, mint a gazdálkodás egyik kritikus területe. A pénzintézetek közel ugyanilyen arányban (62%) jelentették ki, hogy alkalmaznak valamilyen biztonsági stratégiát; 77%-uk gondolja úgy, hogy rendelkeznek azzal az elhivatottsággal és tőkével, ami a szabályozási követelményeknek való megfeleléshez szükséges. Ugyanakkor viszont az összes régió közül a legkevesebb válaszadó, a résztvevők csupán 7%-a vélte úgy, hogy rendelkeznek azokkal a képességekkel és kompetenciákkal, amelyek ahhoz szükségesek, hogy hatékonyan meg tudjanak felelni a már érvényben lévő és a várható biztonsági követelményeknek.
Japán: Bár Japán idén elvesztette vezető helyét számos kulcsfontosságú titoktartási és adatbiztonsági kategóriát tekintve, négy területen azonban még mindig világelsőnek számít: a térség: biztonsági stratégia megléte (a válaszadók 75%-a); a titoktartásért felelős ügyvezető megléte (100%); valamint a külső (35%) és belső (13%) biztonsági incidensek legkisebb előfordulási aránya területén. A felmérés szerint azonban a japán pénzintézetek elmaradnak a világ többi hasonló intézményeitől, ha azt nézzük, hogy a biztonsági kérdések mennyire vannak beépítve az IT-alkalmazottak teljesítményértékelésébe (40% az 50%-os globális értékkel szemben), illetve, hogy a felső vezetők és az igazgatósági tagok mennyire tekintenek úgy a biztonságra, mint a gazdálkodás egyik kritikus területére (a válaszadók 71%-a).
Egyesült Államok: Az Egyesült Államok a legtöbb régió előtt jár a biztonsági kérdések többségét tekintve, például az alábbiakban: azon válaszadók száma, akik szerint a biztonság elsőrendű fontosságú a legfelső vezetők és az ügyvezetők körében, mint a gazdálkodás egyik kritikus területe (89%); a szabályozási előírásoknak való megfeleléshez szükséges szervezeti elkötelezettség és tőke (80%); a biztonsági kérdések beépítése az IT-alkalmazottak teljesítményértékelésébe (70%); valamint hogy tartottak-e az alkalmazottak számára legalább egy, biztonsággal és tudatossággal kapcsolatos képzést az elmúlt év során (95%).
Kanada: Kanada az egyik világelső a titoktartás biztosítása terén: a válaszadók túlnyomó többsége (91%-a) állította, hogy cégénél van olyan ügyvezető, aki a titoktartásért felel, míg 80%-uknál érvényben van valamilyen, az adatbiztonsági előírások betartását ellenőrző program. Kanada olyan tekintetben azonban elmarad a világ többi régiójától, hogy ott a legkisebb azon válaszadók aránya, akik úgy érzik, rendelkeznek azzal az elhivatottsággal és tőkével, ami a szabályozási követelményeknek való megfeleléshez szükséges (50%). Ebben a régióban a legalacsonyabb azoknak a pénzintézeteknek a száma is, amelyek rendelkeznek biztonsági stratégiával (27%), miközben a válaszadók egyike sem érezte úgy, hogy szervezetük információbiztonsági stratégiáját felkarolnák, és magukénak éreznék az üzletági és funkcionális vezetők.
Latin-Amerika és a karib-tengeri térség (LACRO): Az elmúlt két évhez hasonlóan a LACRO régióban működő pénzintézetek, úgy tűnik, nem aggódnak különösebben a titoktartási ügyek miatt; ezt bizonyítja, hogy ebben a térségben volt a legalacsonyabb azon válaszadók aránya, akiknél érvényben van valamilyen, az adatbiztonsági előírások betartását ellenőrző program (31%), vagy rendelkeznek olyan ügyvezetővel, aki a titoktartásért felelős (30%). A térség utolsó helyen kullog abban a tekintetben is, hogy a vállalatok tartottak-e alkalmazottaik számára biztonsággal és tudatossággal kapcsolatos képzést az elmúlt év során (61%). A pozitívumok között meg kell említeni, hogy ebben a régióban a legmagasabb azon pénzintézetek aránya, amelyek rendelkeznek valamilyen biztonsági stratégiával (68%), míg a résztvevők túlnyomó többsége (88%) úgy véli, hogy a biztonság a felsővezetés szintjére emelkedett, mint a gazdálkodás egyik kritikus területe.