V souvislosti s informační bezpečností čelí 67 % společností vzrůstajícím hrozbám, více než třetina firem (37 %) však o aktuálních kybernetických rizicích či potlačování relevantních hrozeb, nemá vůbec žádný přehled. Vyplývá to z pravidelného mezinárodního průzkumu o informační bezpečnosti ve firmách (Global Information Security Survey 2014: Get ahead of cybercrime) provedeného poradenskou společností EY mezi 1 825 respondenty z 60 zemí světa včetně České republiky.
Zatímco Češi (75 % respondentů průzkumu) stále považují nespokojené zaměstnance za nejpravděpodobnější zdroj útoku, ve světě byli za největší hrozbu – poprvé za sedmnáctiletou historii průzkumu – označeni kyberzločinci a hackeři.
Firmám chybí pružnost, prostředky i schopnosti nutné k tomu, aby dokázaly eliminovat známé slabiny a dostatečně se v otázkách kybernetické bezpečnosti zorientovaly. Celých 43 % účastníků průzkumu celosvětově a 50 % českých respondentů přiznává, že suma vyčleněná podnikem na informační bezpečnost se v nadcházejících dvanácti měsících navzdory sílícím hrozbám nezvýší.
Za jednu z hlavních překážek rozvoje zabezpečení informací označila více než polovina dotazovaných (53 %) nedostatek kvalifikovaných pracovníků, v České republice je o tom přesvědčeno dokonce 75 % účastníků průzkumu. Pouze 5 % zahrnutých společností celosvětově dále disponuje týmem specializovaným na analýzu relevantních hrozeb.
V žebříčku slabých míst, jež oblast zabezpečení nejvíce ohrožují, vede „nedbalý či neuvědomělý přístup ze strany zaměstnanců“. Celých 75 % respondentů z ČR stále považuje nespokojené zaměstnance za nejpravděpodobnější zdroj útoku, zatímco ve světě jsou za největší hrozbu již považování kyberzločinci a hackeři. Ve světě se 53 % šéfů obává organizovaného zločinu, v ČR ho za nejpravděpodobnější zdroj útoku považuje jen 31 %. Následují slabiny jako zastaralé kontroly a mechanizmy bezpečnosti a využívání cloud computingu.
Společnost EY přetavila výsledky průzkumu do následujících doporučení:
- Počítačová bezpečnost jako jeden z pilířů konkurenceschopnosti. Vyžaduje to neustálou připravenost, schopnost předvídat výskyt nových hrozeb a koncipovat provoz s ohledem na maximální obezřetnost.
- Ostražitost vůči novým hrozbám. Management by měl kybernetickým hrozbám/rizikům věnovat stejnou pozornost jako ostatním klíčovým aspektům podnikání a implementovat dynamický rozhodovací proces.
- Porozumění rozsahu hrozeb. Nezbytný je komplexní, nicméně důkladný přehled o šíři hrozeb a jejich dopadech na společnost, spolu s nutností zajistit funkční monitoring bezpečnostních hrozeb.
- Znalost vlastních předností. Je zapotřebí, aby napříč celým podnikem existovalo jasné povědomí o aktivech společnosti, jež jsou z hlediska jejího podnikání nejcennější, včetně způsobů, jak je co nejefektivněji využívat a chránit.
- Důraz na řešení incidentů a kritických událostí. Firma by měla pravidelně testovat svoji schopnost odpovídajícím způsobem zasáhnout.
- Snaha poučit se z chyb a dále se rozvíjet. Forenzní technologie zaměřené na počítačovou bezpečnost jsou naprosto klíčové. Společnosti by měly pečlivě vyhodnocovat data z incidentů a útoků, udržovat a navazovat novou spolupráci a pravidelně aktualizovat uplatňovanou strategii.