Tarptautinis tyrimas rodo, kad organizacijos visame pasaulyje vis dar pro pirštus žvelgia į informacinį saugumą. Daugiau nei 60 proc. bendrovių teigė neturinčios informacinių technologijų (IT) saugumo strategijos, o trečdalyje kompanijų netgi nesilaikoma esamų vidinių saugumo taisyklių. Ekspertai tvirtina, kad Lietuvoje padėtis panaši.
Tyrimo, kurį atliko portalai CIO.com ir CSO.com kartu su bendrove „Pricewaterhouse-Coopers”, metu apklausta beveik 7800 su informaciniu saugumu susijusių vadovų rango įmonių ir organizacijų darbuotojų iš 50 šalių. Ketvirtus metus atliekama studija atskleidė, kad pernai IT saugumo situacija pasaulio versle šiek tiek pablogėjo.
Didžiausia problema išlieka aukščiausių vadovų požiūris į IT saugumą. Tik nedaugelis jų pripažįsta šią sritį kaip strateginę, todėl ir kompanijų skaičius, turinčių sukurtą informacinio saugumo strategiją, nepakito, lyginant su 2005 metais. Tokią strategiją turi 37 proc. įmonių. Tiesa, saugumo strategijos derinimas su įmonės verslo strategija vis dar yra nemažas iššūkis – šias dvi strategijas tarpusavyje derina tik penktadalis apklaustų įmonių. Lyginant su 2005-aisiais metais šis skaičius išaugo penkiais procentiniais punktais.
„Dažnai eskaluojamas teiginys, kad informacinis saugumas turėtų kurti pridėtinę vertę verslui, tačiau tai įmanoma tik specifiniais atvejais. Protingai investuoti į apsaugą organizacijai yra naudinga, nes alternatyvūs nesugebėjimo apsaugoti įmonės informaciją kaštai gali būti didesni nei investicijos. Investicijas į saugą laikau neišvengiamybe, be kurios organizacijai būtų dar blogiau, todėl nuomonė, kad ji turėtų kurti pridėtinę vertę nėra labai teisinga”, – sako vienos didžiausių Lietuvos IT bendrovių „Blue Bridge” Valdymo ir infrastruktūros sprendimų skyriaus vadovas Arūnas Šyvis.
Prie strateginio požiūrio trūkumo prisideda ir aiški reikiamos informacijos stoka. 30 proc. apklaustų vadovų nežino, kiek informacinio saugumo incidentų per praėjusius metus įvyko jų organizacijoje. Dar daugiau – net pusė respondentų – neturi duomenų apie tai, kokius nuostolius dėl to patyrė kompanija.
„Be abejo, kai organizacija neatlieka tokių paskaičiavimų, už informacinį saugumą atsakingiems darbuotojams būna sunku įrodyti savo vadovams, jog organizacijai reikalingas vienas ar kitas saugumo sprendimas”, – teigia A.Šyvis.
Tiesa, tyrimo rezultatai rodo, jog bendros išlaidos IT saugumui per šiuos metus turėtų išaugti. 50 proc. respondentų teigė, jog saugumo biudžetas padidės, penktadalis iš jų tvirtino, kad procentinis augimas bus dviženklis, t.y. netgi didesnis nei bendro IT biudžeto.
Tačiau to nepakanka, kad verslas laikytųsi netgi bazinių informacinio saugumo normų. Kaip ir ankstesniais metais, 2006-aisiais trečdalis įmonių ignoravo oficialius šią sritį reguliuojančius teisinius aktus. Paprastai to priežastimi buvo įvardijamas menkas baudų dydis, lyginant su investicijomis, kurios būtinos įgyvendinant vieną ar kitą reikalavimą.
Geriausiai informacinio saugumo grėsmes atlaikyti pasiruošusiu sektoriumi ir toliau išlieka su finansais dirbančios organizacijos: bankai, draudimo bendrovės, investicinės kompanijos. Čia informaciniam saugumui užtikrinti kur kas dažniau samdomas atskiras aukšto lygio vadovas (CISO – Chief Information Security Officer – Vyriausias informacinio saugumo vadovas), beveik dvigubai daugiau subjektų nei kituose sektoriuose turi patvirtintas saugumo strategijas, skiriamas ženkliai didesnis saugumo biudžetas.
„Lietuvoje finansinės institucijos ir kitos užsienio kapitalo valdomos didžiosios bendrovės pasižymi kur kas geriau išvystytu informaciniu saugumu nei kitų sričių organizacijos. Dažniausiai geresnio susitvarkymo priežastis yra akcininkų keliami reikalavimai tinkamai valdyti informacines rizikas”, – tvirtina „Blue Bridge” atstovas.
Tyrimas „Global State of Information Security” (Pasaulinė informacijos saugumo padėtis) atliekamas kasmet nuo 2003 m. Jo metu apklausiami aukščiausio rango verslo bendrovių bei viešojo sektoriaus organizacijų vadovai.