Od momentu opublikowania wyników pierwszego badania przeprowadzonego przez firmę Ernst & Young w 1993 roku, firma analizowała różne aspekty bezpieczeństwa informacji w międzynarodowych organizacjach. Jak na ironię wyniki tegorocznego badania brzmią jak echo sentymentów z ubiegłych lat. Przedsiębiorstwa wciąż bardziej polegają na szczęściu niż na sprawdzonych mechanizmach kontrolnych służących bezpieczeństwu informacji. Postawy, praktyki i działania niewiele zmieniły się od 1993 roku - podczas gdy od tego czasu znacząco wzrosła liczba zagrożeń. Dwa spostrzeżenia dają powody, by uważać, że sytuacja się pogarsza.

Po pierwsze – obecne zagrożenia są o wiele poważniejsze niż w 1993 roku. Wiele organizacji zbyt wolno uświadamia sobie, że niedocenianie zagrożeń może je narazić na poważne szkody. "Panikarze" kierują uwagę opinii publicznej na zewnętrzne zagrożenia, posługując się wątpliwymi danymi dotyczącymi szacunków poniesionych strat, podczas gdy poważniejszymi zagrożeniami są świadome, szkodliwe działania wewnątrz organizacji, niedopatrzenia pracowników oraz powszechnie akceptowana praktyka przedsiębiorstw, dopuszczająca naruszanie istniejących polityk i procedur. Ponieważ tego rodzaju wewnętrzne incydenty często są ukrywane lub zatajane, przedsiębiorstwa nie zdają sobie sprawy, że padają ich ofiarą.

Po drugie - sposób podejścia do zagadnienia bezpieczeństwa informacji nie uległ zasadniczej zmianie. W 1994 roku, jeden z respondentów stwierdził: "Dopiero wystąpienie istotnego naruszenia bezpieczeństwa może spowodować, że organizacja zareaguje". Pomimo upływu 10 lat nadal obowiązuje ten sam sposób myślenia, potwierdzający niechęć do radzenia sobie z istotnymi zagrożeniami i stosowania powszechnie uznanych mechanizmów kontrolnych. Na podstawie wyników badania w 2004 roku widać, że duża część organizacji, dopóki nie doświadczy istotnego naruszenia bezpieczeństwa, nie traktuje poważnie spraw związanych z bezpieczeństwem informacji.

Poniżej przedstawiono najistotniejsze kwestie, wynikające z analizy rezultatów tegorocznego badania.

Kuszenie losu

Im ściślejsza współpraca organizacji z innymi podmiotami, tym mniejsze są szanse, że kierownictwo wyższego szczebla będzie w stanie dostrzec wszystkie istniejące współzależności i ryzyka. Zjawisko to istotnie zmieniło obraz bezpieczeństwa, w którym zachowanie jednego przedsiębiorstwa może mieć znaczący wpływ na członków pozostałych "powiązanych przedsiębiorstw". Niestety, kierownictwo wyższego szczebla - kierując się raczej zaufaniem aniżeli ostrożnością - jest przekonane, że poziom stosowanych zabezpieczeń jest odpowiedni. Nic bardziej mylnego. W rzeczywistości znaczące nakłady ponoszone na rozwiązania techniczne są niweczone przez liczne słabości realizacji. Przykładowo:
- 80% respondentów nie przeprowadza regularnej oceny zgodności działalności swoich outsourcerów (kooperantów, usługodawców) z wymaganiami prawnymi dotyczącymi bezpieczeństwa informacji w organizacji,
- 70% respondentów nie przeprowadza regularnej oceny zgodności działalności swoich outsourcerów z wymaganiami wynikającymi z ich własnej polityki bezpieczeństwa informacji.

Zaniedbywanie czynnika ludzkiego

Wspólnym wątkiem obecnych oraz poprzednich badań jest rola czynnika ludzkiego przy ochronie zasobów informacyjnych. Niestety, nadal jest on zaniedbywany podczas planowania konkretnych działań. Nakłady na rozwiązania techniczne nie są w stanie całkowicie wyeliminować ryzyka zależnego od ludzi. Nawet jeśli kierownictwo wyższego szczebla twierdzi, że bezpieczeństwo informacji jest ważne, to czas, uwaga, podejmowane działania i rozmieszczenie zasobów, mających na celu podniesienie poziomu bezpieczeństwa, nie są odpowiednie do potrzeb. Braki widać wyraźnie w obszarze szkoleń i budowania świadomości bezpieczeństwa wśród pracowników. Wyniki badań wskazują, że czynnik ludzki mógłby i powinien stać się najsilniejszym elementem bezpieczeństwa w organizacji. Tymczasem zaś:
- kierownictwo niechętnie przypisuje odpowiednie znaczenie ludziom, znacznie chętniej przeznaczając środki na inwestycje w rozwiązania techniczne,
- mniej niż połowa uczestników badania zapewnia swoim pracownikom systematyczne szkolenia z zakresu bezpieczeństwa i mechanizmów kontrolnych.

Niedocenianie wewnętrznych zagrożeń (...)

Kluczowa rola kultury organizacyjnej i sposobu zarządzania (...)

Bezpieczeństwo zaczyna się „na samej górze” (...)

Świadomość przeciw obojętności (...)

Instynktowne zachowania bezpieczeństwa (...)

Przeciwdziałanie zagrożeniom (...)

Podsumowanie wyników (...)

Podsumowanie wyników badania polskich przedsiębiorstw (...)