Stan bezpieczeństwa IT 2003

na świecie zbadał magazyn CIO we współpracy z PricewaterhouseCoopers. Powstały raport nie zawiera rewelacji wywołujących olśnienie ('tak, właśnie to powinienem zrobić!'), nie zawiera Ostatecznej Odpowiedzi na Pytanie jak uczynić firmę najbardziej bezpieczną i efektywną. To raczej dobry opis niedoskonałego lecz zmierzającego ku lepszemu świata informatycznego bezpieczeństwa.

W ocenie autorów raportu firmy przygotowywały się w roku 2003 na pojawiające się zagrożenia głównie poprzez edukację i upowszechnianie informacji, zaostrzanie procedur bezpieczeństwa, poprawianie strategii wznawiania działalności po awarii i planów kontynuacji działalności biznesowej. W dalszym ciągu były to jednak - jak uważają krytycznie autorzy raportu - działania charakterystyczne dla kultury reaktywnej, w której działania podejmowane są pod wpływem zewnętrznych bodźców (jak zmiany w regulacjach), a nie wynikają z oceny realnego zagrożenia.

Niestety, aż 10% firm nie posiada żadnej formalnej polityki w zakresie bezpieczeństwa. Z drugiej strony tylko margines stanowią firmy, które do systemu i polityki bezpieczeństwa włączają swoich partnerów i dostawców.

Oto szczególnie ważne i ciekawe ustalenia:

Wydatki: 62% ankietowanych firm zwiększy nakłady na bezpieczeństwo (w 2002 roku deklarowało podobnie tylko 50% ankietowanych);

Budżet - tylko 29% budżetów na bezpieczeństwo IT to mniej niż 10 tys. USD (w 2002 - 39%);

Incydenty spowodowane przez "złośliwy kod" - widoczna poprawa (doświadczyło ich 59% firm wobec 65% w ub. roku)

Inwestycje w systemy detekcji włamań popłacają - 51% posiadających systemy raportujące o próbach włamania twierdzi że dzięki IDS uniknęło włamania (38% rok wcześniej);

Zapobieganie i odzyskiwanie - i tu poprawa jest wyraźna. 26% ankietowanych nie miało w ciągu ostatniego roku przestoju w wyniku incydentu w sferze bezpieczeństwa (rok wcześniej tylko 16%), tylko nieco ponad jedna czwarta przestojów trwała ponad 8 godzin (tylko, bo rok wcześniej - 39%).

Pora na więcej szczegółów we wszystkich wymienionych kwestiach.

Budżet bezpieczeństwo IT: 39% ankietowanych ma budżet na informatykę poniżej 0,5 mln USD w br., 125 - między 0,5 a 1 mln USD. 27% - pomiędzy 1 a 5 mln USD w br., 22% - powyżej 10 mln USD. Tegoroczny budżet na bezpieczeństwo informatyczne to w przypadku 29% ankietowanych mniej niż 10 tys. USD, u 35% ankietowanych - pomiędzy 10 a 100 tys. USD. W 24% przypadków - od 0,1 do 1 mln USD; w 14% przypadków - powyżej 1 mln USD. Przeciętnie budżet bezpieczeństwa stanowi 11% budżetu IT. W 78% respondenci twierdzili, że budżet bezpieczeństwa informatycznego wchodzi w skład budżetu IT.

Blisko połowa (45%) badanych przedstawicieli kadry zarządzającej twierdzi, że budżet na bezpieczeństwo informatyczne w roku bieżącym nieznacznie wzrósł w stosunku do ubiegłorocznego. W 17% przypadków - że wzrósł znacznie. W 30% przypadków nie zmienił się, a tylko w 8% przypadków - nie uległ zmianie.

Struktura raportowania : ponad połowa (62%) badanych twierdzi, że ich organizacja/dział bezpieczeństwa odpowiada bezpośrednio przed CIO firmy; w 8% przypadków - przed CSO lub CPO (dyrektorem ds. poufności) W 16% przypadków dział odpowiada i raportuje do CEO, a w 5% - do CFO. W 2% ankietowanych organizacji dział bezpieczeństwa odpowiada przed komitetem ds. bezpieczeństwa.

Pytani o to, czy bezpieczeństwo fizyczne organizacji jest zintegrowane z koncepcją i procedurami bezpieczeństwa informatycznego ankietowani w 28% przypadków odpowiedzieli "tak". W tej grupie, niemal połowa (47%) twierdzi, że ogólna polityka bezpieczeństwa i polityka bezpieczeństwa informatycznego są faktycznie zintegrowane na poziomie procedur, w 37% przypadków dwa filary bezpieczeństwa firmy raportują do tej samej osoby lub komitetu, w 16% - organizacja posiada komitet w którym zasiadają przedstawiciele bezpieczeństwa fizycznego i informatycznego.

Polityka bezpieczeństwa informatycznego i podejmowanie decyzji - Odpowiednie wykorzystanie poczty elektronicznej (70%), administracji sieciowej (68%), administracji użytkownikami (67%), systemami (67%) odpowiednie wykorzystanie Internetu (65%), zachowanie, niszczenie, udostępnianie danych (51%) przez każdego użytkownika końcowego firmowej infrastruktury informatycznej były najczęściej włączane w ramy polityki bezpieczeństwa. Około jednej trzeciej monitoruje standardy, wdraża je, działa na rzecz upowszechnienia lub ich modyfikacji. 10% - nie posiada formalnej polityki bezpieczeństwa.

Tylko 37% ankietowanych menedżerów stwierdza, że ich organizacja mierzy i sprawdza wydajność polityki bezpieczeństwa oraz stosowanie procedur, podczas gdy 31% - że tylko przegląda. 24% ankietowanych firm nie robi nic z tych rzeczy. W 47% przypadków osobą odpowiedzialną (współodpowiedzialną) za wprowadzenie polityki bezpieczeństwa w firmie był szef IT, w 37% - kierownik ds. bezpieczeństwa informatycznego, prezes/CEO (28%), administrator bezpieczeństwa (22%), komitet bezpieczeństwa (20%) - w tej kolejności. Za ustalenie poziomu wydatków na bezpieczeństwo odpowiedzialni byli prezes/CEO (46%), CIO (41%), CFO (35%).

W jaki sposób uzasadniano wydatki na IT? W 69% - tym, że firma jest wystawiona na niebezpieczeństwo, w 53% - że "takie są wymogi prawne lub regulacyjne", w 41% - trendami w branży lub standardami w zakresie bezpieczeństwa, potencjalnym wpływem na poziom przychodów (40%).

Incydenty w sferze bezpieczeństwa - ponad jedna trzecia respondentów twierdzi, że ich organizacja nie doświadczyła żadnych negatywnych wydarzeń w dziedzinie bezpieczeństwa na przestrzeni ostatniego roku; jedna czwarta ucierpiała w tym okresie 1 - 2 razy, a 22% - 3 - 4 razy. W 17% firm miało miejsce powyżej 10 wypadków dotyczących naruszenia bezpieczeństwa firmy w ciągu roku.

Owe wydarzenia najczęściej dotyczyły "złośliwego kodu" (59%), nieautoryzowanego wejścia (40%) lub ataku DoS (36%). W dwóch trzecich przypadków dyrektorzy twierdzili, że prawdopodobnym autorem lub źródłem ataku byli hakerzy albo terroryści, 31% winiło nieautoryzowanych wewnętrznych użytkowników. Pod względem metody ataku, na pierwszym miejscu występuje wykorzystanie słabości systemu operacyjnego (39%), złe/nieuprawnione wykorzystanie uprawnień przez użytkownika (30%), niezamierzony błąd użytkownika (28%).

O lukach w zabezpieczeniach firmy dowiadywały się najczęściej z analizy logów na firewallu (57%), w 51% przypadków - z systemu detekcji intruzji, a w 35% przypadków - dzięki ostrzeżeniom od kolegów. Wśród respondentów, których firma miała przestój w wyniku naruszenia bezpieczeństwa, jedna trzecia doświadczyła go w 2003 r. w całkowitym wymiarze poniżej czterech godzin, 17% - od 4 do 8 godzin, 13% - od 8 do 24 godzin, 11% - powyżej 24 godzin. 36% nie miało żadnych przestojów w związku z incydentem w zakresie bezpieczeństwa IT.

40% respondentów nie potrafiło określić strat finansowych wywołanych incydentami i naruszeniami bezpieczeństwa IT; 29% - twierdzi, że takich strat nie było. 17% ankietowanych wyceniło je na poniżej 10 tys. USD, a 14% - na więcej niż 10 tys. USD.

Gwaranty bezpieczeństwa W ciągu ostatniego roku ankietowani dyrektorzy podnieśli poziom świadomości pracowników w zakresie bezpieczeństwa i polityki bezpieczeństwa (64%), zaprojektowali lub poprawili politykę/standardy/procedury bezpieczeństwa (61%) i zaprojektowali lub poprawili procedury zapewnienia lub wznowienia działalności po awarii (55%). Tylko 14% posiadało procedury kalkulacji ROI z inwestycji w bezpieczeństwo a 12% - proces kwantyfikacji kosztu luki w systemie zabezpieczeń.

Firmy instalowały oprogramowanie antywirusowe (73%), automatyczne back-upy (61%), oprogramowanie do wykrywania prób włamania (49%). 82% korzysta z zapory ogniowej, 61% - z VPN-u i technologii SSL.

Podsumowując: poczucie bezpieczeństwa jest umiarkowane. 24% dyrektorów ufa skuteczności zabezpieczeń w swojej firmie, a dalsze ok. 60% - ufa ale w stopniu ograniczonym. Ponadto 62% uważa, że trzy czwarte firmowych użytkowników postępuje według wymogów polityki bezpieczeństwa. Za najważniejsze bariery dla dobrej organizacji bezpieczeństwa uznawano ograniczony budżet (64%), ograniczony czas lub brak czasu na lepsze "pochylenie się" nad kwestiami bezpieczeństwa (47%), ograniczony liczebnie zespół osób zajmujących się bezpieczeństwem (39%).

Badanie objęło 7 596 CEO, CIO, CSO, lub innych członków najwyższej kadry zarządzającej oddelegowanych do kwestii bezpieczeństwa IT w firmie. Błąd oszacowania dla badania wynosi 1,1%.


Zobacz również