Niedawno firma DNV przeprowadziła ankietę, w której wzięło udział prawie tysiąc specjalistów z firm na całym świecie, chcąc poznać ich opinie na temat zarządzania bezpieczeństwem informacji. Podobne ćwiczenie przeprowadzono w 2015 r. W ten sposób można było przeanalizować, w jaki organizacje mogły zmienić swój pogląd na przestrzeni czasu oraz zrozumieć inicjatywy i postawy wobec najlepszych praktyk i budowania systemów.
W ciągu ostatnich sześciu lat oczywiste jest, że nastąpiła stopniowa zmiana w kierunku poprawy dojrzałości w zakresie bezpieczeństwa informacji. Mimo to mniej niż połowa badanych postrzegała swoją firmę jako dojrzałą (4) lub lidera (5) w 5-stopniowej skali. Liczba tych, które uważały się za liderów, wzrosła prawie dwukrotnie od czasu pierwszego badania, ale stanowiła zaledwie jedną ósmą wszystkich przebadanych organizacji. Niewielki wzrost może wynikać jedynie ze zwiększonej koncentracji i lepszego zrozumienia zagrożeń.
Zmiana zachowań
Kolejną zmianą jest przesunięcie w kierunku inwestycji opartych w większym stopniu na zachowaniach. Spośród inicjatyw, które organizacje wskazują jako podjęte w celu ograniczenia ryzyka, respondenci umieścili w czołówce trzy następujące:
- Posiadanie odpowiedniego personelu do zarządzania bezpieczeństwem informacji w organizacji (64,9%)
- Posiadanie polityki bezpieczeństwa informacji zatwierdzonej przez najwyższe kierownictwo (57,5%)
- Zapewnienie pracownikom szkoleń z zakresu bezpieczeństwa informacji (56%)
Świadczy to o wyraźnej preferencji inwestowania w ludzi i podnoszenia ich kwalifikacji. Nie było to tak widoczne we wcześniejszym badaniu, kiedy to aktywa fizyczne i sprzęt znajdowały się na szczycie listy. Skupienie się na ludziach prawdopodobnie przyniesie rezultaty, ponieważ w większości przypadków cyberatak opiera się na osobie, która nieumyślnie dokonuje niewłaściwego działania. Weźmy pod uwagę, że okres pomiędzy badaniami obejmował lata, w których pandemia COVID drastycznie zmieniła sposób, w jaki ludzie i organizacje pracują i łączą się ze sobą. Można by się spodziewać, że organizacje są obecnie znacznie bardziej świadome zagrożeń i incydentów związanych z informacjami, danymi i cybernetyką niż wcześniej.
Można zauważyć, że firmy posiadające certyfikowany system zarządzania bezpieczeństwem informacji są bardziej wrażliwe i lepiej reagują na zmiany zachodzące wokół nich. Blisko 80% twierdzi, że zakończyło lub częściowo zakończyło proces dostosowywania do nowego środowiska cyfrowego. Na pytanie, która z czterech opcji - integracja systemów bezpieczeństwa, szkolenie pracowników, regularne testowanie lub zautomatyzowane praktyki w zakresie cyberbezpieczeństwa - jest najistotniejsza w traktowaniu nowych zagrożeń wynikających z transformacji cyfrowej, szkolenie pracowników ponownie znalazło się na szczycie, uznane za najistotniejsze przez 33,1% firm certyfikowanych i 25,9% niecertyfikowanych.
Spośród organizacji posiadających certyfikowane systemy zarządzania informacją, trzy czwarte przeniosło w całości lub częściowo swoją infrastrukturę IT do chmury. Wiąże się to z dodatkowym ryzykiem, ale jedna na trzy organizacje przyjęła również normę ISO 27017 lub inny kodeks praktyk w zakresie kontroli bezpieczeństwa informacji usług w chmurze.
Kompletny model bezpieczeństwa w zasięgu ręki
"Zero Trust" to nowy model bezpieczeństwa stale weryfikujący wiarygodność każdego urządzenia, użytkownika i aplikacji, czyli "nie ufasz nikomu i musisz zweryfikować każdego". Jest to nowe podejście do bezpieczeństwa, które zyskuje na popularności. Firmy posiadające certyfikowany system zarządzania bezpieczeństwem informacji wydają się w większym stopniu stosować model "Zero Trust". Jedna na trzy wdrożyła lub zmierza w tym kierunku.
Jeśli chodzi o trendy mające największy wpływ na cyberbezpieczeństwo, na szczycie listy znajduje się rosnące wykorzystanie urządzeń mobilnych, a następnie innowacyjnych technologii. Urządzenia mobilne to coś, co wydaje się być integralną częścią współczesnego życia, czy to w formie smartfonów czy tabletów.
Wspomina się również o wzroście znaczenia Internetu rzeczy (IoT), który jest często pomijanym ryzykiem. Przedmioty takie jak drukarki, stale podłączone do sieci firmowych i Internetu, mogą wydawać się trywialne. Ale na przykład ich oprogramowanie sprzętowe aktualizowane automatycznie, może być również możliwym punktem wejścia.
Ochrona przed ryzykiem związanym z dostawcami
O ile ważne jest, aby mieć się na baczności przed bezpośrednimi atakami, o tyle często zagrożenie pochodzi z uznawanych za bezpieczne źródeł, takich jak dostawcy towarów i usług. Trzy najbardziej typowe sposoby rozwiązywania i ochrony ryzyka związanego z bezpieczeństwem informacji/cyberbezpieczeństwem przy zakupach od dostawców to:
- Kwalifikacja oparta na dokumentach
- Weryfikacja i testowanie zakupionych towarów i materiałów
- Prośba o certyfikaty stron trzecich
Firmy certyfikowane częściej polegają na certyfikacji strony trzeciej w celu ochrony przed ryzykiem związanym z bezpieczeństwem informacji, danych i cyberbezpieczeństwem dostawcy. Najprawdopodobniej wynika to ze świadomości na temat wymagań i kontroli nałożonych przez normy takie jak ISO/IEC 27001. Co więcej, sama organizacja może być dostawcą dla innych firm i w związku z tym oczekuje się od niej przedstawienia dowodu na prawidłowe zarządzanie bezpieczeństwem informacji.
W rzeczywistości, trzy największe korzyści z wdrożenia certyfikowanego systemu zarządzania bezpieczeństwem informacji, sklasyfikowane przez respondentów, zostały wymienione jako:
- Zadowolenie klienta/zaspokojenie potrzeb klienta
- Poprawa wyników w zakresie bezpieczeństwa informacji
- Zdolność do spełnienia wymagań prawnych
Na kolejnych miejscach znalazły się: "lepsza identyfikacja/zarządzanie ryzykiem" oraz "zapewnienie przewagi konkurencyjnej". Podkreśla to istotny związek między zarządzaniem ryzykiem a sukcesem biznesowym.
Szybko przekształcające się środowisko cyfrowe - od przyspieszonego przyjęcia usług w chmurze i automatyzacji, przez zagrożenia związane z bezpieczeństwem cybernetycznym i prywatnością, po zagrożenia związane ze złośliwym oprogramowaniem i ransomware - stworzyło wśród firm pilną potrzebę utrzymania bezpieczeństwa informacji i danych. Firmy posiadające certyfikat zgodności z najlepszymi praktykami, takimi jak ISO/IEC 27001, wydają się mieć przewagę w rozumieniu obrazu ryzyka i wdrażaniu środków łagodzących
Na podstawie badania Espresso (listopad 2021), “How are companies tackling enterprise risk? Information security.”
