Deloitte: Ofițerii de securitatea informației își fac cu greu loc pe agenda CEO-ului în România

Acest lucru implică bugete dedicate și o selecție atentă a ofițerilor responsabili cu securitatea informației, ei având rolul dificil de a ține amenințările cibernetice la distanță.

„În ultimii ani, importanța poziției de ofițer de securitate în contextul business-ului a crescut și în România; companii care până acum câțiva ani nu aveau asemenea poziții deschise sau manifestau un interes limitat față de acest subiect devin tot mai conștiente de nevoia de a acoperi această arie de importanță strategică”, spune Bogdan Petre, Manager Enterprise Risk Services (ERS), Deloitte. „Din experiență putem spune că firmele mari (adesea, multinaționale) sunt mult mai deschise către aceste aspecte, în parte pentru că existența acestei funcții se impune prin politica grupului. Deși, în general, ofițerul pentru securitatea informației a ieșit din biroul său și a devenit mai influent, abordarea companiilor în acest domeniu nu se ridică încă la nivelul riscurilor și amenințărilor existente și, în plus, bugetele alocate securității sunt limitate. În general, nici echipele IT, nici organizațiile în sine nu sunt perfect conștiente de numărul și gravitatea incidentelor înregistrate, ele neputând astfel justifica investițiile sau creșterea bugetelor pentru managementul securității informației”.

Cătălin Țigănilă, Senior Manager ERS, adaugă: „Complexitatea problemelor de securitate sporește, astfel încât până și metodele tradiționale considerate în trecut ca fiind cele mai sigure sunt puse acum sub semnul întrebării. De exemplu, un studiu recent lansat de Deloitte arată că atât analiștii, cât și directorii din companii mari din domeniile Tehnologie, Media și Telecomunicații (TMT) consideră că peste 90% dintre parolele create de utilizator – chiar și cele considerate ca fiind foarte bune – sunt vulnerabile atacurilor de tip hacking și pot fi sparte în câteva secunde sau minute. Devin necesare elemente suplimentare de identificare, cum ar fi dispozitivele digitale de autentificare prin generare de coduri ( ex. „token”, „digi pass”, etc.), solicitarea de parole adiționale trimise prin SMS pe telefonul utilizatorului, utilizarea de amprente sau alte elemente de biometrie sau smart card-uri (de tipul „tap and go”).

Divizia Serviciilor de Risc din cadrul Deloitte (Enterprise Risk Services) oferă clienților servicii de management al riscurilor și îi ajută să înțeleagă riscurile specifice fiecărui domeniu, să determine nivelele acceptabile de expunere, să implementeze sisteme de control și monitorizare permanentă.

Echipa din România, cu peste 20 de consultanți, furnizează servicii de atestare și certificare a sistemelor IT, evaluarea controalelor generale IT, risc și conformitate contractuală, managementul riscului sistemelor IT, servicii de consultanță și audit pentru sistemele de management al securității informațiilor (SMSI), evaluarea vulnerabilităților tehnice și teste de penetrare și inginerie socială. Clienții diviziei numără companii de top din industrii importante, precum și entități din administraţia publică.

O lume tot mai vigilentă

Potrivit celui mai recent studiu lansat de Deloitte Touche Tohmatsu Limited (DTTL) – TMT Global Security Study, directorii celor mai mari companii de profil din lume au trecut de la etapa de conformitate cu reglementările și legislația în vigoare la cea a implementării unei strategii și a unui plan de securitate în 2013 ca principala măsură de îmbunătățire a securității informațiilor.

Tot mai multe organizații înțeleg că securitatea informației reprezintă un aspect fundamental în afaceri, iar atenția lor se îndreaptă nu doar spre conceptul de securitate, ci și spre robustețea și stabilitatea în mediul virtual (cyber resilience).

Potrivit studiului, vigilența scăzută în rândul angajaților și riscurile venite din partea partenerilor reprezintă vulnerabilități importante de securitate; în acest sens, organizațiile TMT ar trebui să investească în cursuri de pregătire și conștientizare în domeniul securității informației, pentru ca angajații să contribuie la combaterea eficientă a riscurilor pe care le prezintă noile tehnologii.

„Întrebarea nu este dacă vei fi atacat, ci când vei fi atacat și cum vei răspunde”, spune Jacques Buith, lider global în domeniul securității în cadrul Deloitte. „Managementul eficient al riscurilor de securitate necesită un mix foarte solid între prevenție, detecție rapidă și reacții prompte. A fi robust şi stabil din punct de vedere cibernetic (cyber resilient) este la fel de important sau chiar mai important decât a fi sigur din punct de vedere cibernetic”.

Un efort unanim pentru cyber resilience

Rezultatele studiului indică o atitudine foarte optimistă în ceea ce privește protecția față de amenințările externe, 88% dintre directorii intervievați considerând că firmele lor nu sunt vulnerabile. Cu toate acestea, la o analiză mai atentă, peste jumătate dintre ei recunosc că s-au confruntat cu atacuri cibernetice în cursul anului anterior. În plus, mai puțin de jumătate dintre respondenți au implementat un plan de reacție în cazul unei breșe de securitate și numai 30% dintre ei consideră că partenerii externi își asumă suficient de multă responsabilitate în ceea ce privește securitatea. Totodată, 74% dintre cei 121 de respondenți au identificat breșele de securitate înregistrate de terți ca fiind în topul amenințărilor; pe locurile următoare se situează atacuri de tipul denial of service (menite să supra-solicite destinatarii, ducând la blocarea/ refuzul serviciilor) și eroarea sau omisiunile angajaților.

„Nu există organizație protejată în proporție de 100%”, subliniază Andrei Ionescu, Director ERS Deloitte România. „Fiecare companie trebuie să aibă metode clare de identificare și reacție în astfel de cazuri. Organizațiile nu trebuie să lucreze doar cu partenerii lor de afaceri pentru a înțelege și îmbunătăți politicile de securitate; ele trebuie să implice factorii de legiferare, autoritățile de reglementare și agențiile de resort, să fie dispuse să împărtășească informații sensibile pentru a răspunde la provocarea globală privind riscul cibernetic”.

Alte amenințări importante identificate de respondenți sunt cele de tip advanced persistent threats (cu risc ridicat și manifestate în mod repetat – 64%) și hactivism-ul (63%) – un risc nou identificat în contextul acestui studiu, care combină aspectele de activism social sau politic cu activitățile de hacking. În timp ce peste jumătate dintre respondenți colectează doar informații generale privind amenințările, un procent mai mic (39%) colectează informații specifice despre atacurile identificate și îndreptate către organizația lor, industria, brandul sau clienții lor.