Ponemon: Špatné IT zabezpečení v SMB může skončit katastrofou

24. 11. 2013
Doba čtení: 6 minut

Sdílet

 Autor: © Andrea Danti - Fotolia.com
Z průzkumu Ponemon Institute pro Sophos vyplývá, že v řadě SMB se potýkají nejen s nedostatkem rozpočtu na IT bezpečnost, nýbrž i s nevědomostí a nevyjasněnými kompetencemi. Firma, která nemá vyřešeno, kdo je za problematiku vlastně odpovědný, musí počítat s problémy.

Společnost Sophos zveřejnila výsledky bezpečnostní studie Risk of an Uncertain Security Strategy vypracované společností Ponemon Institute. Studie se zaměřila na malé a středně velké společnosti a její výsledky ukazují, že mnoho z těchto podniků není dostatečně chráněno před kybernetickými útoky.

Hlavními důvody bývají nedostatečná informovanost o stavu zabezpečení firmy a poněkud přezíravý postoj managementu vůči důležitosti zabezpečení. Oboje společnostem brání zaujmout vůči zabezpečení efektivní postoj.

Není to pro nás riziko

Šest z deseti respondentů (58 %) uvedlo, že management nevnímá kybernetické útoky jako riziko, které by významně ohrožovalo jejich podnikatelské záměry. Rovněž se ukázalo, že čím výše je manažer postavený, tím více má ohledně problematiky nejasností.

„Rozsah kybernetických útoků roste každý den,“ uvádí ke zprávě Gerhard Eschelbeck, technický ředitel ve společnosti Sophos.

Tento výzkum ale ukazuje, že mnoha malým a středně velkým firmám se nedaří odhadnout nebezpečí a potenciální ztráty související s bezpečnostními hrozbami. Studie jednoznačně dokazuje i to, že těmto hrozbám mnohé firmy čelí právě z důvodu své nečinnosti v oblasti IT bezpečnosti.“

Nechápou, nemají, nevědí

Nejpodstatnějším důvodem situace je neschopnost managementu přiřadit bezpečnosti odpovídající priority. Odpovědělo tak 44 % respondentů. Nedostatečný rozpočet je hned na druhém místě; za problém jej označilo 42 % dotázaných. Třetím důvodem je pak nedostatek interního know-how; vnímá jej 33 % redpondentů.

V mnoha SMB také vlastně nění jasné, kdo za počítačovou bezpečnost odpovídá. Nepřesně stanovená odpovědnost pak obvykle znamená, že bezpečnost spadá do kompetence IT ředitelů.

V dnešních malých a středně velkých firmách je CIO pouze informačním úředníkem, který má na starosti rozsáhlé a stále složitější oblasti,“ uvedl Gerhard Eschelbeck.

Nerozumět, přesto používat

Dalším rizikem je neznalost moderních konceptů. Odpovědní manažeři si vůbec nejsou jisti tím, jak moc bezpečnost ovlivňuje koncept BYOD nebo používání cloudových technologií.

Celých 77 % respondentů v této souvislosti uvedlo, že v příštím roce zvýší nebo nesníží využívání cloudů a služeb spravované IT infrastruktury. Celá čtvrtina z nich ovšem netuší, jaký to bude mít vliv na bezpečnost.

Obdobně celých 69 % respondentů uvedlo, že mobilní přístup ke klíčovým firemním aplikacím bude příští rok pravděpodobně větší, a to i přes to, že polovina z nich si myslí, že toto zvýšení bude mít negativní bezpečnostní dopady.

Hlavní závěry studie:

  • 58 % respondentů uvedlo, že management nevnímá kybernetické útoky jako významné riziko.
  • Jedna třetina dotázaných si není jistá, zda v jejich firmě došlo během uplynulých 12 měsíců ke kybernetickému útoku. 42 % pak uvedlo, že jejich organizace se ve stejném období s kybernetickým útokem setkala.
  • Respondenti na vyšších pozicích mají největší nejasnosti o problematice hrozeb, které by mohly jejich firmy ohrozit. Příčinou negativního stavu je pravděpodobně odtržení vyšších manažerských pozic od běžných provozních problémů. Bez zvýšení informovanosti nebudou zaměstnanci na těchto pozicích chápat důležitost bezpečnostní problematiky, která tak nikdy nezíská potřebnou prioritu.
  • Manažeři informační bezpečnosti a vrcholový management se na rozhodování o prioritách IT bezpečnosti podílí jen zřídka. Zatímco 32 % respondentů uvedlo, že za definování priorit je odpovědný IT ředitel, 31 % tvrdí, že neví v jejich firmě o funkci, které by tato odpovědnost náležela.
  • 44 % respondentů uvedlo, že IT bezpečnost pro ně není prioritou. Celých 42 % navíc uvedlo, že jejich rozpočet není adekvátní pro dosažení efektivního zabezpečení. Navíc pouze 26 % respondentů si myslí, že jejich IT zaměstnanci mají dostatečné odborné znalosti.
  • Respondenti odhadují, že náklady spojené s dopady bezpečnostních incidentů jsou mnohem vyšší než cena samotného poškození nebo krádeže IT vybavení či infrastruktury.
  • Mobilní zařízení a koncept BYOD představují ve srovnání s cloudovými technologiemi a službami spravované IT infrastruktury mnohem větší bezpečnostní problém. Nicméně tyto obavy nebrání masivnímu využívání mobilních zařízení.

Doporučení pro SMB

Studie po shrnutí situace uvádní i několik obecných doporučení, jimiž by se SMB měly řídit pro udržení smysluplné strategie IT zabezpečení.

  • Organizace musí soustředit dostatečné zdroje na sledování své bezpečnostní situace. Při posuzování vztahu k bezpečnostní problematice se firmy musí zaměřit nejen na sledování hrozeb, ale také na včasné informování a aktivní detekci.
  • Důležité je definovat ověřené postupy pro zabezpečení mobilních zařízení, zejména s ohledem na BYOD. Organizace by měly pečlivě naplánovat a implementovat mobilní strategii.
  • Organizace by měly hledat cestu, jak si poradí s nedostatkem profesionálů ovládajících problematiku informační bezpečnosti. Řešením může být snížení nároků na interní zdroje, například i pomocí přechodu na cloudové technologie. Důležité je také využívat odborné konzultanty a snadno upravovatelná řešení.
  • Náklady související s kybernetickými útoky by měly být pravidelně vyhodnocovány, a to včetně zohlednění dopadů způsobených snížením produktivity. Do problematiky bezpečnosti je důležité více zapojit vrcholový management, jen tak totiž může bezpečnost získat odpovídající priority. Důležité jsou také investice do řešení, které umožní v případě bezpečnostního incidentu rychlý návrat k normálnímu stavu.
  • Vzhledem k častému nedodržování pravidel umožňující efektivní zabezpečení je důležité zvážit využití konsolidované správy bezpečnosti. 

Průzkum byl zaměřený na malé a středně velké společnosti nejen ve Spojených státech, Velké Británii a Německu, ale také v Asii a Tichomoří (Austrálie, Indie, Čína a Singapur). Účastnily se jej 2000 respondentů.

bitcoin školení listopad 24

Celou studii (anglicky) si je možné problédnout zde.

Zdroj: Sophos

Čtěte dále

Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT
Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT
AT Computers je IDG Distributorem roku společnosti Lenovo
AT Computers je IDG Distributorem roku společnosti Lenovo
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně