Globalizarea reduce treptat din importanţa semnificaţiei termenului de business „local“. Printre cauze se numără şi riscurile tot mai mari la care este expus din punctul de vedere al securităţii informatice, capabile să provoace pierderi uriaşe companiilor din orice industrie.
Breşele în securitatea sistemelor informatice produc anual pagube de miliarde de lire sterline, doar în Marea Britanie. Constatarea a fost făcută de studiul „Breşele securităţii informatice 2008“, efectuat de PricewaterhouseCoopers pentru Departamentul de Reformare a Reglementărilor pentru Întreprinderile din Marea Britanie. În contextul globalizării rapide din domeniu, rezultatele acestuia pot pune pe gânduri şi administratorii companiilor româneşti.
Cei doi indicatori în baza cărora se decide nivelul investiţiilor în securitatea informaţiei sunt gradul de protecţie a informaţiei despre clienţii unei companii şi reputaţia companiei. Clienţii pot cere chiar plăţi compensatorii pentru neprotejarea informaţiilor personale stocate si procesate de companii. Recent, imaginea a două instituţii de renume din Marea Britanie, o instituţie financiară şi o agenţie guvernamentală, au avut de suferit ca urmare a pierderilor de informaţii cu caracter personal.
Afaceri tot mai dependente de sistemele informatice
Cel mai mare impact asupra businessului îl au întreruperile proceselor de afaceri, indiferent dacă sunt provocate din interiorul sau exteriorul organizaţiei. Amândouă au acelaşi scop: descurajarea clientului în folosirea serviciului respectiv, care, în anumite cazuri, se soldează şi cu o pagubă materială, precum şi cu prejudicii de imagine.
Breşele în securitate pot cauza prejudicii financiare companiilor din orice industrie. Nu mai există companii care să nu deţină informaţii cu caracter personal, iar legislaţia prevede pedepse penale pentru neprotejarea datelor cu caracter personal.
Businessul online, în special cel de retail şi banking, este în creştere. Până de curând, hackerii nu erau interesaţi de România, dar de ceva timp, numărul atacurilor a crescut semnificativ. Interesul acestora nu se manifestă doar pentru datele privind contul bancar şi cardul de debit sau credit, ci şi asupra informaţiilor cu caracter personal – cum ar fi codul numeric personal (CNP), identificatorul de client etc., care sunt folosite ulterior în diferite moduri pentru obţinerea de informaţii suplimentare.
Studiul PricewaterhouseCoopers a confirmat faptul că businessurile sunt din ce în ce mai interesate de oportunităţile oferite de noile tehnologii. Revoluţia broadbandului a permis companiilor să folosească Internetul pentru a oferi atât noi servicii clienţilor, cât şi mobilitate mai mare pentru angajaţi. Activităţile IT depăşesc graniţele fizice ale reţelelor tradiţionale.
Controale îmbunătăţite
Cu cât compania este mai mare, cu atât cresc şansele ca aceasta să fi adoptat deja mai multe practici legate de activităţile IT. De exemplu, şase din şapte companii mari şi-au mutat o parte din operaţiunile IT în afara graniţelor. Gradul de utilizare a acestor practici a crescut semnificativ faţă de acum doi ani; iar tendinţa este în continuare de creştere. De exemplu, 30% din companii vor folosi Voice over IP până la finalul lui 2008.
Ca rezultat al acestor practici, sistemele IT şi securitatea informaţiei au devenit pentru companiile din Marea Britanie mai importante ca oricând. Pentru prima dată, companiile mici acordă aceeaşi importanţă securităţii ca şi companiile mari.
În ultima perioadă, controalele şi procedurile aferente securităţii informatice au început să fie îmbunătăţite la numeroase companii. Sunt vizate în special cele aferente activităţilor de bază, cum ar fi protecţia antivirus şi copiile de siguranţă. Pe lângă acestea, firmele conştientizează din ce în ce mai mult şi vulnerabilităţile legate de personal, acesta trebuind educat în ceea ce priveşte riscurile aferente securităţii.
Incidentele se schimbă
Companiile, în special cele care fac o analiză minuţioasă a bugetului de cheltuieli, investesc mai mulţi bani în securitate. Nivelul general de utilizare a informaţiei este în creştere, iar accentul se pune pe măsurarea şi schimbarea comportamentului actual. Odată cu creşterea nivelului general de informare are loc o schimbare de la tradiţionalele tehnici de autentificare prin ID şi Password la tehnici precum Smartcard sau dispozitive biometrice.
După creşterea înregistrată în 2004, numărul companiilor care au raportat o breşă în securitate a revenit la cifrele anului 2002. Totodată, este probabil ca anumite companii să nu raporteze incidentele sau să raporteze numai câteva dintre acestea. De exemplu, companiile care efectuează evaluarea riscurilor au şanse de patru ori mai mari să detecteze furtul de identitate decât cele care nu operează această evaluare. În plus, media incidentelor grave a crescut. La fel ca în 2006, mai mult de un sfert din numărul companiilor studiate au avut o breşă gravă de securitate.
Surprinzător este declinul înregistrat de numărul raportărilor privind infectările cu viruşi. Acest tip de incidente a fost detronat de pe cea mai înaltă poziţie în clasamentul cauzelor ce au provocat incidentele de securitate, ajungând până pe locul patru din cinci. Numărul companiilor infectate cu viruşi a scăzut, ajungând la nivelul anului 2000. În contrast, numărul intruziunilor neautorizate rămân de patru ori mai mare faţă de nivelul anului 2000.
Costul total al incidentelor a scăzut cu aproximativ o treime faţă de acum doi ani, adică până la nivelul anului 2004. Un cost indicativ este estimat la ordinul a câteva miliarde de lire pe an. Companiile sunt, în general, pesimiste şi numai 17% din ele se aşteaptă doar la câteva incidente de securitate pentru anul viitor.
EXPUNERI MAJORE
Informaţia confidenţială este încă supusă riscurilor majore, mai ales în companiile unde s-au înregistrat anumite tipuri de incidente. Din păcate, există încă multe companii care nu întreprind acţiuni pentru protejarea informaţiilor proprii şi a celor privind clienţii.
13% au detectat intruşi în reţeaua companiei
9% au mesaje trimise în numele lor către proprii clienţi în care li se solicită furnizarea unor informaţii confidenţiale („phishing“)
6% au înregistrat cel puţin o divulgare de informaţii confidenţiale
10% din companiile care au website-uri care acceptă plăţi online nu criptează informaţia
21% cheltuiesc pentru securitate mai puţin de 1% din bugetul total IT
35% nu deţin controlul asupra folosirii de către angajaţi a Instant Messaging
48% n-au testat sau aplicat în ultimul an soluţii de redresare ca urmare a unui incident major
52% nu efectuează formal o analiză de riscuri privind securitatea informatică
67% nu au un set de măsuri de prevenire a pierderii sau furtului datelor confidenţiale stocate pe memoriile USB
78% din companiile care au înregistrat furturi de laptopuri nu aveau hard disk-urile criptate
79% nu ştiu la ce se referă standardul BS7799 / ISO27001
84% nu scanează email-urile pentru prevenirea transmiterii informaţiilor confidenţiale.
Întrebari cheie pentru administratori
Pentru câteva întrebări esenţiale, administratorul unui business ar trebui să găsească răspunsuri şi să le structureze într-un plan de securitate operaţional:
1. Sunteţi conştient de problemele de securitate cu care se confruntă zilnic business-ul pe care îl gestionaţi?
2. Sunteţi încrezător că modul de abordare a evaluării riscurilor vă permite să definiţi cu acurateţe profilul de risc la care este expus businessul dumneavoastră?
3. Care este impactul asupra businessului dacă sistemele informatice principale nu pot fi utilizate la un moment dat?
4. Este posibil ca cineva neautorizat sau fără autoritatea necesară să acceseze datele companiei, inclusiv cele stocate pe echipamente mobile?
5. Sunteţi sigur că politicile şi procedurile de securitate sunt în conformitate cu cerinţele reglementărilor legale în vigoare?
6. Ce măsuri de management şi de responsabilizare aţi implementat în domeniul securităţii informaţiei?
7. Cât de bine sunt cunoscute politicile şi procedurile de securitate informatică implementate în cadrul organizaţiei dumneavoastră?
8. Aveţi măsuri eficace pentru prevenirea compromiterii datelor în cazul pierderii sau furtului echipamentelor mobile de stocare a datelor (laptopuri, memorii USB, hard disk-uri mobile etc.)?
Dan Gheorghe, senior manager,
Adrian Schmidt, Senior Consultant, PricewaterhouseCoopers
Capital – Editia nr. 20, data 21 mai 2008