EY: Organizaţiile continuă să fie nepregătite în faţa atacurilor cibernetice

Cele mai multe organizaţii (67%) se confruntă cu creşterea nivelului de risc la adresa securităţii informaţiilor interne, iar peste o treime din ele (37%) nu au informaţii în timp real despre riscurile cibernetice care să le ajute să răspundă acestor ameninţări, se arată în raportui anual EY privind securitatea informaţiilor, Get Ahead of Cybercrime.

Raportul EY are la bază un sondaj la care au participat 1.825 de organizaţii din 60 de ţări.

Companiile sunt lipsite de agilitatea, bugetul şi competenţele necesare pentru remedierea vulnerabilităţilor cunoscute şi pentru o pregătire eficientă pe zona de securitate informatică, potrivit raportului.

Astfel, 43% dintre respondenţi au declarat că bugetul total alocat de către organizaţia lor securităţii informaţiei va rămâne aproximativ la fel în următoarele 12 luni, în ciuda creşterii numărului de ameninţări, fapt care reprezintă doar o îmbunătăţire minoră a situaţiei faţă de 2013, când 46% au declarat că bugetele lor nu se vor modifica.

Mai mult de jumătate dintre respondenţi (53%) au afirmat că lipsa resurselor umane calificate reprezintă unul dintre principalele obstacole cu care se confruntă în implementarea unui program eficient de securitate a informaţiilor din organizaţie şi doar 5 la sută dintre companiile respondente dispun de o echipă de investigare şi analiză a ameninţărilor, care include analişti dedicaţi. Aceste date marchează mici diferenţe faţă de anul 2013 când 50% din respondenţi subliniau lipsa resurselor calificate iar 4% declarau că dispun de o echipă de investigare şi analiză la ameninţări care include analişti dedicaţi.

"Angajaţii nepăsători şi în necunoştinţă de cauză " reprezintă principala vulnerabilitate cu care se confruntă companiile, menţionată de 38% dintre respondenţi, iar "arhitectura sau sistemul învechit de securitate a informaţiilor" şi "folosirea cloud computing-ului" ocupă poziţiile doi şi trei, cu 35%, respectiv 17%.

"Furtul de informaţii financiare", "perturbarea şi distorsionarea activităţii organizaţiei" şi "furtul de proprietate intelectuală sau de date" reprezintă principalele trei ameninţări (menţionate şi ca priorităţi de 28%, 25% şi, respectiv, 20% dintre respondenţi).

Studiul din acest an arată că organizaţiile trebuie să acţioneze mult mai eficient în anticiparea atacurilor cibernetice într-un mediu în care nu mai este posibilă prevenirea tuturor breşelor de securitate, iar ameninţările provin din surse exterioare tot mai diverse şi mai bine finanţate.

Carmen Adamescu, Executive Director, EY România, declară:

"Organizaţiile trebuie să dezvolte pe viitor o strategie care să includă şi gestionarea riscurilor şi să înţeleagă cum să anticipeze criminalitatea informatică. Atacurile cibernetice au potenţialul de a provoca daune profunde - nu doar din punct de vedere financiar, ci şi în termeni de brand şi reputaţie, de pierdere a avantajelor competitive şi de nerespectare a normelor şi reglementărilor. Organizaţiile trebuie să facă trecerea de la o poziţie reactivă la una proactivă, şi să se transforme din ţinte uşoare ale criminalilor cibernetici în adversari redutabili ai acestora".

Raportul EY încurajează organizaţiile să ia în considerare valoarea adăugată pe care o poate aduce companiei zona de securitate a informaţiilor şi să o integreze în activitatea principală de business. O astfel de abordare presupune menţinerea organizaţiei într-o permanentă stare de pregătire, de anticipare a zonelor de unde ar putea apărea noi ameninţări şi de renunţarea definitivă la mentalitatea de "victimă" care generează o stare perpetuă de anxietate.

Carmen Adamescu, Executive Director, EY România adaugă: "Dincolo de ameninţările interne, organizaţiile sunt nevoite să aibă în vedere întregul ecosistem de business şi modul în care relaţiile dezvoltate cu terţii şi cu furnizorii pot influenţa zona de securitate a informaţiilor. Pentru o organizaţie devin vizibile rezultatele investiţiilor în securitatea informaţiilor doar după atingerea unui nivel avansat de pregătire. Prin aşezarea tuturor elementelor în ansamblul sistemului de securitate şi asigurarea că acesta este capabil să se adapteze la schimbare, companiile vor reuşi să fie cu un pas înaintea infractorilor cibernetici, adăugând capabilităţi înainte ca acestea să fie necesare şi pregătindu-se în faţa posibilelor ameninţări înainte ca acestea să apară".