Η Παγκόσμια Έρευνα για την Ασφάλεια των Πληροφοριών για το 2008 της Ernst & Young δείχνει ότι ολοένα περισσότερες εταιρείες αναγνωρίζουν τη στενή σχέση μεταξύ της ασφάλειας πληροφοριών και μιας ισχυρής επωνυμίας και φήμης.
Η έρευνα, στην οποία συμμετείχαν σχεδόν 1.400 ανώτερα διευθυντικά στελέχη σε περισσότερες από 50 χώρες, δείχνει ότι οι περισσότεροι πιστεύουν πως ένα περιστατικό ασφάλειας θα είχε μεγαλύτερο αντίκτυπο στη φήμη και την επωνυμία παρά στα έσοδα, με το 85% των συμμετεχόντων να θεωρούν τη βλάβη στη φήμη και την επωνυμία σημαντικότερη σε σύγκριση με το 72% υπέρ της απώλειας εσόδων. Οι κανονιστικές κυρώσεις αναφέρθηκαν μόνο από το 68%.
Ο Paul van Kessel, Επικεφαλής σε Παγκόσμιο Επίπεδο του Τμήματος Διαχείρισης Κινδύνων Τεχνολογίας και Ασφάλειας Πληροφοριών στην Ernst & Young, σχολιάζει: «Η καλή επωνυμία και η φήμη χρειάζονται χρόνια για να εδραιωθούν, αλλά μπορούν να υποστούν σημαντική βλάβη ή ακόμη και να εξανεμιστούν από ένα και μόνο περιστατικό ασφάλειας». Η κάλυψη των μέσων αναφορικά με την παραβίαση της ασφάλειας υπογραμμίζει το πόσο καταστροφικές μπορούν να αποβούν αυτές οι αποτυχίες για τη φήμη μιας εταιρείας. Τα τελευταία χρόνια, οι περισσότερες βελτιώσεις στον τομέα της ασφάλειας πληροφοριών απορρέουν από την κανονιστική συμμόρφωση. Σήμερα, η επιθυμία τους να προστατέψουν την επωνυμία και τη φήμη τους, δίνει κίνητρα σε πολλές εταιρείες να κάνουν περισσότερα από την τυπική συμπλήρωση εγγράφων περί κανονιστικής και εταιρικής συμμόρφωσης».
Παρά την αυστηρότερη οικονομική πολιτική, η έρευνα υποδεικνύει ότι οι εταιρείες αυξάνουν τις επενδύσεις τους στην ασφάλεια πληροφοριών και ολοένα περισσότερες εταιρείες υιοθετούν διεθνή πρότυπα ασφαλείας. Άνω των δύο τρίτων (67%) των συμμετεχόντων δήλωσαν ότι έχουν πλέον εφαρμόσει ελέγχους για την προστασία των προσωπικών δεδομένων.
Ο Van Kessel συνεχίζει: «Συνολικά, τα αποτελέσματα της έρευνας αυτής της χρονιάς είναι ενθαρρυντικά. Ωστόσο, υπάρχουν ορισμένοι βασικοί τομείς -όπως οι εσωτερικές απειλές, το απόρρητο και οι σχέσεις με τρίτα μέρη- που χρήζουν περαιτέρω εστίασης και επενδύσεων».
Οι δαπάνες πρόκειται να αυξηθούν
Παρά την οικονομική ύφεση που αντιμετωπίζουν ορισμένες από τις σημαντικότερες οικονομίες στον κόσμο, το 50% των συμμετεχόντων δήλωσαν ότι πρόκειται να αυξήσουν τις δαπάνες για την ασφάλεια. Στην πραγματικότητα, μόνο το 5% των ερωτηθέντων σκοπεύουν να μειώσουν τους υφιστάμενους προϋπολογισμούς τους.
Η ανοδική τάση των επενδύσεων στην τοπική αγορά των υπηρεσιών ασφάλειας πληροφοριών, σε πείσμα της υπό εξέλιξη οικονομικής κρίσης, επιβεβαιώνεται και από τους Κυριάκο Τσιφλάκο και Σωτήρη Παπιώτη, Partner και Senior Manager αντίστοιχα στο τμήμα Διαχείρισης Κινδύνων Τεχνολογίας και Ασφάλειας Πληροφοριών της Ernst & Young στην Αθήνα, οι οποίοι προσθέτουν: “Το γεγονός αυτό κατά πάσα πιθανότητα οφείλεται αφενός στο ότι οι επιχειρήσεις με έδρα στην Ελλάδα ξεκίνησαν τις σχετικές επενδύσεις αρκετά αργότερα από αντίστοιχες επιχειρήσεις στις Η.Π.Α. και την υπόλοιπη Ευρώπη (και άρα δεν έχουν την “πολυτέλεια” περεταίρω αναβολών), και αφετέρου στο ότι σημαντικό μέρος των εν λόγω επενδύσεων αφορούν σε υποχρεώσεις κανονιστικής συμμόρφωσης με συγκεκριμένες προθεσμίες”.
Ο Van Kessel συμπληρώνει: «Πιστεύουμε πως οι εταιρείες αναγνωρίζουν ότι οι περικοπές στην ασφάλεια πληροφοριών θα έχουν αρνητικές επιπτώσεις στην αντίληψη που έχουν σχηματίσει τα ενδιαφερόμενα μέρη για την εκάστοτε εταιρεία. Οι περισσότεροι πιστεύουν επίσης ότι οι απειλές κατά της ασφάλειας αυξάνονται σε περιόδους οικονομικής ύφεσης.
«Ωστόσο, η κατανομή των δαπανών αποτελεί θέμα μείζονος σημασίας. Δεν αρκεί απλώς να χρηματοδοτούμε περαιτέρω τεχνικές λύσεις, όπως η κρυπτογράφηση. Οι άνθρωποι αποτελούν συχνά τον «πιο αδύναμο κρίκο», καθώς 50% των συμμετεχόντων αναφέρουν την ενημέρωση εντός της εταιρείας τους ως την σημαντικότερη πρόκληση για την ασφάλεια των πληροφοριών. Οι επιχειρήσεις πρέπει να ασχοληθούν με την ασφάλεια πληροφοριών προκειμένου να αναπτύξουν εκπαιδευτικά και ενημερωτικά προγράμματα, καθώς και για να υιοθετήσουν πιο εξελιγμένες τεχνικές ελέγχου».
Τα τρίτα μέρη στο προσκήνιο
Η χρήση τρίτων μερών και εξωτερικών συνεργατών αυξάνεται, ενώ οι εταιρείες λαμβάνουν ορισμένα σημαντικά μέτρα για τη διαφύλαξη των πληροφοριών. Εντούτοις, υπάρχουν μεγάλα περιθώρια βελτίωσης. Μόνο το 45% των συμμετεχόντων συμπεριλαμβάνουν ειδικές απαιτήσεις ασφάλειας πληροφοριών σε όλες τις συμβάσεις τους με τρίτα μέρη. Σχεδόν το ένα τρίτο δεν αναθεωρεί ούτε αξιολογεί τον τρόπο με τον οποίο προστατεύουν οι ανάδοχοι τις πληροφορίες τους.
Ο Van Kessel καταλήγει: «Οι αναφορές ολοένα περισσότερων περιστατικών σχετικά με την απώλεια δεδομένων που αφορούν ενέργειες τρίτων και εξωτερικών συνεργατών μας δηλώνει ότι η ασφάλεια πληροφοριών πρέπει να είναι «καθολική». Τα δεδομένα σας πρέπει να προστατεύονται σε οποιοδήποτε τμήμα της αλυσίδας επιχειρησιακών λειτουργιών και εάν βρίσκονται, ενώ ο έλεγχος πρέπει να περιλαμβάνει όλους τους συνεργάτες σας».
Η πλήρης έκθεση διατίθεται κατόπιν αιτήσεως ή στη διαδικτυακή τοποθεσία www.ey.com
Σχετικά με την έρευνα
Η Έκθεση για την Ασφάλεια των Πληροφοριών για το 2008 που διεξήχθη από την Ernst & Young πραγματοποιήθηκε με τη βοήθεια των πελατών του τμήματος διαχείρισης κινδύνων τεχνολογίας και ασφάλειας πληροφοριών της Ernst & Young σε περισσότερες από 50 χώρες. Οι επιτόπιες εργασίες της έρευνας διεξήχθησαν από τον Μάιο έως τον Αύγουστο του 2008. Τα αποτελέσματα συγκεντρώθηκαν κατά κύριο λόγο μέσω συνεντεύξεων με ανώτατα στελέχη από περίπου 1.400 επιχειρήσεις που ανήκαν σε όλους τους βασικούς κλάδους.
