Saskaņā ar Ernst & Young 14. ikgadējo Globālās informācijas drošības pētījuma rezultātiem, biznesa organizāciju centieni ieviest jaunākās datu apstrādes tehnoloģijas savā uzņēmējdarbībā un iekļauties plaši izmantotajā mākoņdatošanas un sociālo mediju pasaulē palielina plaisu starp biznesa lietotāju prasībām pielietot šīs tehnoloģijas un organizāciju spēju novērst ar tām saistītās jaunās un sarežģītās drošības problēmas.
- 72% respondentu atzīst, ka pieaug ārējie riski saistībā ar informācijas drošības apdraudējumiem
- 80% respondentu apsver iespēju izmantot mobilos planšetdatorus, lai arī to drošības līmenis joprojām ir zems
- Mākoņdatošana (cloud computing) ir galvenā drošības finansēšanas prioritāte turpmākajiem 12 mēnešiem pasaulē
Pētījums, kurā aptaujātas 1700 organizācijas visā pasaulē, iekļaujot 20 organizācijas Latvijā, atklāj, ka 72% respondentu atzīst ar ārējiem apdraudējumiem saistīto risku pakāpes pieaugumu savām informācijas sistēmām. Taču tajā pašā laikā tikai aptuveni trešā daļa respondentu pēdējā gada laikā ir atjaunojuši savu informācijas drošības stratēģiju.
80% organizāciju pasaulē pašlaik lieto vai apsver mobilo planšetdatoru lietošanu un 61% izmanto vai apsver mākoņdatošanas pakalpojumu izmantošanu turpmākā gada laikā, taču, strauji ieviešot šīs izmaiņas, drošības jautājumi paliek otrajā plānā.
Ivo Ivanovs, Ernst & Young Baltic IT risku un drošības projektu vadītājs norāda: "Arvien vairāk pakalpojumi klientiem dažādās nozarēs tiek piegādāti tiešsaistes režīmā. Arī uzņēmējdarbības vadība vairs nav iedomājama bez liela apjoma datu ieguves un to digitālas apstrādes. Pārejot uz uzņēmējdarbības modeļiem tā saucamajā datu "mākonī", uzņēmumiem strauji jāreaģē uz jauniem IT riskiem. Skaidrs, ka jau šobrīd ir vairāk jādomā par stratēģisku, visaptverošu IT drošības risku novēršanu, nevis tikai jācīnās ar īstermiņa problēmām.”
Tiek plānots palielināt IT drošības budžetus
Pētījums atklāj, ka 59% respondentu pasaulē nākamā gada laikā plāno palielināt informācijas drošības budžetu, taču tikai 51% respondentu atzina, ka viņiem ir apstiprināta informācijas drošības stratēģija.
Respondenti pasaulē minēja mākoņdatošanu kā galveno drošības finansēšanas prioritāti turpmākajiem 12 mēnešiem. Kopumā jau otro gadu pēc kārtas respondenti par galveno finansējuma prioritāti uzskata arī uzņēmējdarbības nepārtrauktību. Savukārt Latvijas respondenti par savām prioritātēm norādījuši aizsardzību pret informācijas noplūdes riskiem, uzņēmējdarbības nepārtrauktības nodrošināšanu un darbinieku apmācību drošai informācijas sistēmu izmantošanai.
Mobilo planšetdatoru ieviešana ir otra svarīgākā prioritāte
Planšetdatoru un viedtālruņu ieviešana nozīmīgāko tehnoloģisko izaicinājumu sarakstā ieņem otro vietu. Divi nozīmīgākie pasākumi, kas veltīti šo mobilo tehnoloģiju radīto risku novēršanai, ir uzņēmumu IT politikas pielāgošana un darbinieku apmācība to drošai izmantošanai. Tomēr specializētas informācijas aizsardzības risinājumu ieviešana joprojām ir maz izplatīta. Piemēram, mazāk nekā puse organizāciju (47%) izmanto datu šifrēšanas risinājumus, aizsargājot informāciju planšetdatoros un viedtālruņos.
Sociālie mediji
Lielākā daļa respondentu (72%) pasaulē apgalvoja, ka galvenais risks viņu IT infrastruktūrai ir ārējs ļaunprātīgs uzbrukums. Šādus uzbrukumus var veicināt informācija, kas iegūta no sociālajiem mēdijiem, izmantojot atsevišķiem indivīdiem sūtītu personas datu izmānīšanas ziņojumus, kas pielāgoti lietotāju profiliem.
Lai novērstu sociālo mediju izraisītos iespējamos riskus, organizācijas, šķiet, ieņem stingru nostāju. Vairāk nekā puse (53%) uz to reaģējuši, vienkārši bloķējot piekļuvi sociālo mediju tīmekļa vietnēm, nevis izmantojot citus drošības pasākumus uzņēmuma mērogā.
Saglabājas neskaidrība par informācijas drošību mākoņdatošanā
Neatkarīgi no informācijas par mākoņdatošanas ieviešanu daudzām organizācijām joprojām nav skaidrs, ar kādiem riskiem tas ir saistīts, tāpēc organizācijas dara arvien vairāk, lai labāk novērtētu ietekmi un riskus. 2011. gadā 48% respondentu pasaulē mākoņdatošanas ieviešanu atzina kā grūti vai ļoti grūti pārvaramu izaicinājumu un vairāk nekā puse joprojām nav izmantojusi nekādus kontroles mehānismus, lai mazinātu ar mākoņdatošanu saistītos riskus. Visbiežāk īstenotais pasākums ir stingrāka uzraudzība pār līgumu vadības procesu ar mākoņa pakalpojumu sniedzējiem, taču arī to izmanto tikai 20% respondentu, norādot uz augstu un, iespējams, nepamatotu uzticības pakāpi. Latvijas respondenti atšķirībā pārējiem aptaujas dalībniekiem praktiski neizmanto mākoņdatošanas risinājumus.
"Pārliecības trūkums par datu aizsardzību mākonī un neeksistējošās vienotās vadlīnijas mākoņdatošanas risinājumu izstrādātājiem ir radījis situāciju, ka daudzas organizācijas, šķiet, pieņem kļūdainus lēmumus, vai nu priekšlaicīgi pārejot mākonī un nepietiekami novērtējot saistītos riskus, vai izvairoties no mākoņu izmantošanas pavisam, kā, piemēram, Latvijas gadījumā. Kaut arī daudzas organizācijas ir pārnesušas savu darbību mākonī, daudzas šo lēmumu ir pieņēmušas pretēji drošības speciālistu brīdinājumiem,” saka Ivo Ivanovs, Ernst & Young Baltic IT risku un drošības projektu vadītājs.
Gandrīz 90% respondentu atbalsta ārēju mākoņdatošanas pakalpojumu sniedzēju sertifikāciju un gandrīz puse (45%) uzskata, ka tā ir jābalsta tikai uz starptautiski saskaņotiem standartiem.
Galvenās nākotnes prioritātes
Pētījums liecina, ka tikai 12% respondentu apspriež ar informācijas drošību saistītos jautājumus katrā valdes sēdē un ka mazāk nekā puse (49%) pētījuma dalībnieku uzskata, ka viņu informācijas drošības pasākumi atbilst organizācijas vajadzībām.
Ivo Ivanovs, Ernst & Young Baltic IT risku un drošības projektu vadītājs secina: "IT drošības stiprināšanā ir nepieciešama visas organizācijas pragmatiska un proaktīva rīcība, nevis tikai reakcija uz sekām. Organizāciju vadītājiem ir jābūt labi informētiem par informācijas drošības jautājumiem un lēmumiem izmantot attiecīgās tehnoloģijas būtu jābūt atbilstošiem organizācijas biznesa stratēģijā noteiktajiem mērķiem. Lielākajai daļai organizāciju līdz šāda stāvokļa sasniegšanai vēl ejams tāls ceļš. Lai veiksmīgi pārvaldītu IT riskus kopumā, organizācijas vadībai ir nepieciešams plašs un visaptverošs priekšstats par kopējo IT risku situāciju un to ietekmi uz viņu biznesu.”