Securitatea informaţiei lasă de dorit la marile instituţii financiare

0
Publicat:
Ultima actualizare:

Există o discrepanţă uriaşă între gradul de conştientizare a problemelor de securitate şi identificarea de soluţii Conform celui mai recent studiu Deloitte, problemele privind

Există o discrepanţă uriaşă între gradul de conştientizare a problemelor de securitate şi identificarea de soluţii

Conform celui mai recent studiu Deloitte, problemele privind securitatea informaţiei continuă să atragă atenţia directorilor executivi din marile instituţii financiare ale lumii. Cu toate acestea, în mare parte, rezolvarea problemelor este lăsată în seama departamentelor IT.

Mai puţin de două treimi din participanţii la studiul Deloitte, "Securitatea la Nivel Global 2007", deţin o strategie privind securitatea informaţiei. Doar 10% din companiile participante la acest studiu au un director de securitate responsabil de gestionarea problemelor legate de securizarea informaţiei. Rezultatele studiului relevă următorul paradox: există o discrepanţă uriaşă între gradul de conştientizare a problemelor de securitate şi identificarea de soluţii. \

Printre altele, studiul arată că principala cauză a fraudărilor externe continuă să fie factorul uman, reprezentat de angajaţi ai companiei, clienţi, terţi şi parteneri de afaceri.

Rezultatele studiului atrag atenţia asupra paradoxului cu care se confruntă instituţiile financiare în ceea ce priveşte securitatea, participanţii identificând problemele de securitate cu care trebuie să se confrunte, precum şi strategiile necesare în vederea îmbunătăţirii gradului de securitate şi de confidenţialitate. Cu toate acestea, numeroase instituţii financiare nu reuşesc să facă faţă problemelor.

În ceea ce priveşte fraudările, clienţii reprezintă cel mai mare motiv de îngrijorare pentru companii. Studiul Deloitte arată că principalele trei tehnici de fraudare, cele care au fost enunţate de majoritatea participanţilor la studiu, sunt viruşii, atacurile prin e-mail, în principal spam-uri, şi atacurile de phishing/pharming.
Toate aceste fraudări sunt realizate prin intermediul clienţilor, folosiţi ca sursă indirectă de informaţii şi mijloc de propagare a datelor în cadrul instituţiilor financiare.

Deşi acestea au de suferit în mod direct de pe urma fraudărilor, reprezentanţii lor sunt destul de reticenţi în ceea ce priveşte securizarea computerelor clienţilor, cel mai probabil datorită implicaţiilor unui astfel de proces. La întrebarea "Consideraţi că trebuie să vă asumaţi responsabilitatea în ceea ce priveşte securizarea computerelor clienţilor care fac afaceri on-line cu dvs.?", două treimi din subiecţi, adică 66%, au răspuns negativ.

Pe lângă fraudele realizate prin intermediul clienţilor, companiile se confruntă cu numeroase cazuri de fraude realizate de către angajaţi: greşeli (acţiuni voluntare) şi omiteri (acţiuni involuntare). 91% din participanţii la studiu acordă o atenţie deosebită activităţilor desfăşurate de către angajaţi şi numesc factorul uman ca fiind cauza principală a eşecurilor în materie de securitate a informaţiei (79%).

Atacurile prin e-mail, principala metodă de fraudare

Deşi greşelile şi omisiunile făcute de angajaţi sunt considerate a fi principalii factori care ameninţă securitatea informaţiei, aproape un sfert (22%) din participanţii la studiu nu au oferit angajaţilor traininguri de securitate. 30% din directorii participanţi la studiu sunt de părere că angajaţii pot face faţă cu brio problemelor de securitate.

Specialiştii Deloitte spun că, în ciuda acestor discrepanţe, identificarea problemelor este o etapă extrem de importantă parcursă de către instituţiile financiare în vederea reducerii acestor diferenţe.

Conştientizarea problemelor, organizarea de traininguri de securitate, managementul angajaţilor, al clienţilor şi al furnizorilor, protejarea informaţiilor reprezintă principalele acţiuni întreprinse anul acesta de către companii, pentru a combate ameninţările aduse la adresa securităţii informaţiilor.

Atacurile prin e-mail reprezintă principala metodă de fraudare externă cu care s-au confruntat instituţiile financiare în ultimul an, aproape 57%. Două treimi din participanţii la studiu, adică 66%, sunt de părere că protejarea computerelor clienţilor care desfăşoară tranzacţii on-line nu trebuie să facă parte din responsabilităţile acestora.

Teoretic, toţi participanţii la studiu, aproape 98%, indică o creştere a bugetelor alocate securităţii, însă 35% din aceştia sunt de părere că investiţiile în securitatea informaţiei nu acoperă în întregime domeniul de activitate. Schimbarea priorităţilor şi problemele de integrare reprezintă principalele cauze de eşec pentru proiectele de securitate a informaţiei, 48%, respectiv 32%.

Cele mai dese fraudări interne sunt în SUA

În regiunea EMEA, adică Europa, Orientul Mijlociu şi Africa, 39% din participanţii la studiu consideră că au capacitatea şi resursele necesare pentru a face faţă în mod eficient provocărilor prezente şi viitoare privind securitatea. Majoritatea participanţilor, 82%, arată că securitatea reprezintă un subiect prioritar pe agenda consiliilor directoare, 77% din aceştia considerând că au motivaţia necesară şi resursele financiare pentru a fi în conformitate cu cerinţele de reglementare.

În ceea ce priveşte fraudările, numărul instituţiilor financiare din Europa, Orientul Mijlociu şi Africa care s-au confruntat cu fraudări interne (31%) şi externe (71%) depăşeşte media globală de 30%, respectiv 65%. Comunitatea Statelor Independente (CSI) este regiunea care s-a confruntat cu cele mai multe cazuri de fraudare externă.

Aproape 65% din participanţii la studiu s-au confruntat cu atacuri externe, în comparaţie cu 65%, atacuri externe raportate la nivel global. CSI este a doua regiune, după Japonia, care a înregistrat cel mai scăzut procent de fraudări interne în ultimul an, numai 38%. Alături de Japonia, CSI se situează pe primul loc în topul companiilor care deţin o strategie de securitate, aproape 75% din participaţi susţin că au o asemenea strategie.

În regiunea Asia-Pacific, cu excepţia Japoniei, peste trei sferturi din subiecţii participanţi la studiu, aproape 80%, au declarat că securitatea reprezintă un punct extrem de important pe agenda managerilor companiei. Peste 60% din instituţiile financiare din această regiune au o strategie de securitate. Doar 7% din participanţi consideră că au capacitatea şi resursele necesare pentru a face faţă provocărilor prezente şi viitoare în materie de securitate.

Deşi, în cazul Japoniei, anul acesta, managementul nu este implicat în problemele de securitate şi confidenţialitate, companiile din Japonia sunt pe primul loc în următoarele aspecte. Lipsa unei strategii de securitate, 75%, lipsa unui director responsabil cu securitatea, 100%, cel mai scăzut nivel de fraudări externe, 35%, şi interne, aproape 15%.

Conform studiului, instituţiile financiare din Japonia sunt surclasate în privinţa acordării de prime angajaţilor din segmentul IT, pentru rezolvarea problemelor legate de securitate. Doar 40%, comparativ cu aproape jumătate, la nivel global. Firmele japoneze nu stau mai bine nici la capitolul conştientizarea importanţei securităţii la nivel de conducere, peste 71 de procente.

În Statele Unite ale Americii, în aproape 90% din cazuri, securitatea reprezintă un punct extrem de important pe agenda consiliilor directoare. Totodată, 80% din cei întrebaţi au spus că există motivaţia şi resursele financiare necesare pentru a fi în conformitate cu cerinţele de reglementare.

Aproape 70% din companiile financiare din SUA acordă prime angajaţilor IT pentru rezolvarea problemelor legate de securitate, în timp ce 95% organizează în ultimul an a cel puţin un training de securitate. Conform datelor furnizate de către participanţii la studiu, SUA au cel mai mare număr de instituţii financiare care s-au confruntat în ultimul an cu cel puţin un caz de fraudare internă.

Securitatea IT, o problemă extrem de importantă în SUA

Canada gestionează cel mai bine problemele legate de securitate şi confidenţialitate a informaţiilor. Peste 90% din participanţii la studiu au declarat că instituţiile ce le au sub conducere au un director de securitate, iar 80% deţin un program care le permite o bună gestionare a problemelor legate de confidenţialitate.

Canada se află pe ultimul loc la gradul de motivaţie şi alocarea de resurse financiare necesare pentru a fi în conformitate cu cerinţele de reglementare, pentru că jumătate din repondenţi nu au bani pentru soluţii de securizare. Acelaşi ultim loc îl deţine Canada şi în topul instituţiilor financiare care deţin o strategie de securitate, doar 27 de procente.

În regiunea America Latină şi Caraibe, ca şi în ultimii doi ani, instituţiile financiare nu se arată prea preocupate de aspectele legate de securitate. Acest lucru este demonstrat de altfel şi de procentul scăzut al celor care deţin un program de gestionare a problemelor legate de confidenţialitate. Doar 31%, în timp ce numai 30% din companiile financiare din această regiune au angajat un director de securitate. America Latină şi Caraibe se află la coada clasamentului şi la capitolul organizarea de traininguri de securitate pentru angajaţi, numai 61%.

Pe de altă parte, regiunea deţine unul dintre cele mai ridicate procente de instituţii care deţin o strategie de securitate, aproape 70% din total. Majoritatea participanţilor la studiu, aproape 80%, consideră că securitatea în afaceri reprezintă un punct important pe agenda conducerii companiei.

România, în topul statelor care "furnizează" atacuri informatice

La noi, cele mai importante iniţiative în domeniul securităţii informatice sunt legate de verificarea periodică a sistemelor informatice ce deservesc sistemele de electronic banking. Alături de acestea mai sunt luate în "vizor" şi sistemele expuse riscurilor de securitate introduse de conexiunea la reţelele publice de date. Verificarea formală a securităţii sistemelor de internet banking este, în mod particular, bine reglementată, mai ales că în ultimii ani a devenit un produs cuprins în oferta majorităţii băncilor din România, atât la nivel corporate, cât şi pentru utilizatorii individuali, susţine Radu Herinean, enterprise risk manager la Deloitte România.

Directorii de IT din România sunt tot mai preocupaţi de problemele de confidenţialitate, integritate şi disponibilitate a datelor. Însă strategiile de IT sunt dezvoltate sau aplicate cel mai adesea în baza metodologiilor aprobate la nivel de grup de fiecare companie multinaţională în parte.

Acolo unde structura corporativă o permite sau o impune, însă cel mai adesea politica de securitate depinde de factori interni precum bugetul sau disponibilitatea de personal intern specializat. Iar acest lucru se întâmplă în condiţiile în care România se află, în continuare, în topul statelor care "furnizează" atacuri informatice. Specialiştii de la Deloitte România spun că, pe partea de legislaţie, iniţiativele româneşti au fost coerente şi cuprinzătoare, însă, din păcate, şi în acest domeniu eforturile de implementare trebuie susţinute activ pentru a exista rezultate palpabile.

Tehnologie



Partenerii noștri

Ultimele știri
Cele mai citite