Από τους 2.000 ερωτηθέντες που συμμετείχαν στην έρευνα σε παγκόσμιο επίπεδο το 58% επιβεβαίωσε ότι τα ανώτερα στελέχη και η διοίκηση δεν θεωρούν ότι οι επιθέσεις στον κυβερνοχώρο αποτελούν σημαντικό κίνδυνο για την επιχείρησή τους. Παρόλα αυτά, οι επιπτώσεις στην υποδομή και στα περιουσιακά στοιχεία καθώς και τα γενικότερα προβλήματα που δημιουργούν οι επιθέσεις βρέθηκαν να έχουν κοστίσει στις μικρομεσαίες επιχειρήσεις κατά μέσο όρο 1.608.111 δολάρια τους τελευταίους 12 μήνες!

Η έρευνα  που χρηματοδοτήθηκε από την Sophos, προσδιόρισε ότι όσο μεγαλύτερη ήταν η θέση του στελέχους μίας επιχείρησης που έπρεπε να πάρει αποφάσεις για την ασφάλεια, τόσο μεγαλύτερη ήταν η αβεβαιότητα σχετικά με την σοβαρότητα μίας ενδεχόμενης απειλής.   

“Η κλίμακα των απειλών τρομοκρατικών επιθέσεων στον κυβερνοχώρο μεγαλώνει κάθε μέρα”, δήλωσε ο Gerhard Eschelbeck, Chief Technology Officer της Sophos  και συμπλήρωσε “Αυτή η έρευνα δείχνει ότι πολλές μικρομεσαίες επιχειρήσεις αδυνατούν να εκτιμήσουν τους πιθανούς κινδύνους και τις ενδεχόμενες ζημιές που μπορεί να έχουν από το να μην υιοθετούν μία ισχυρή άμυνα για το τμήμα IT τους που να τους ταιριάζει”.

Σύμφωνα με την έρευνα , υπάρχουν τρεις κύριες προκλήσεις που αποτρέπουν την υιοθέτηση μιας ισχυρής πολιτικής ασφάλειας από μία εταιρεία: αποτυχία να δώσουν προτεραιότητα στην ασφάλεια (44%), ανεπαρκής προϋπολογισμός (42%) και έλλειψη εμπειρογνωμοσύνης μέσα στην εταιρεία (33%). Σε πολλές μικρομεσαίες επιχειρήσεις δεν υπάρχει υπεύθυνος ασφάλειας που σημαίνει ότι τέτοιες αποφάσεις αναγκαστικά εισέρχονται στην αρμοδιότητα του CIO.

“Σήμερα σε μικρές και μεσαίες επιχειρήσεις, ο CIO είναι συχνά ο μόνος “αξιωματικός πληροφοριών” ο οποίος διαχειρίζεται πολλαπλές και όλο και πιο πολύπλοκες ευθύνες στο πλαίσιο της επιχείρησης είπε ο Eschelbeck. “Ωστόσο, αυτοί οι OIOs δεν μπορούν να κάνουν τα πάντα από μόνοι τους και όσο οι υπάλληλοι ζητούν πρόσβαση σε κρίσιμες εφαρμογές, συστήματα και υλικά από μία μεγάλη ποικιλία κινητών συσκευών, φαίνεται ότι συχνά ο τομέας της ασφάλειας παραμερίζεται”.

Η μελέτη επίσης αποκαλύπτει την αβεβαιότητα που υπάρχει γύρω από πολιτικές τύπου “Bring Your Own Device” και η χρήση του cloud είναι πιθανόν να συμβάλλει στην πιθανότητα κυβερνοεπιθέσεων. Το 77% των ερωτηθέντων, δήλωσε ότι η χρήση εφαρμογών cloud και υπηρεσιών υποδομών IT θα αυξηθεί ή θα παραμείνει η ίδια το ερχόμενο έτος ωστόσο το ένα τέταρτο των ερωτηθέντων δήλωσαν ότι δεν ήξεραν αν αυτό θα μπορούσε να επηρεάσει την ασφάλεια.

Ομοίως, το 69% είπε ότι η πρόσβαση από κινητό σε σημαντικές επιχειρηματικές εφαρμογές θα αυξηθεί το επόμενο έτος , παρά το γεγονός ότι οι μισοί από αυτούς πιστεύουν ότι θα μειώσει την πολιτική και τα μέτρα ασφάλειας.
“Οι μικροί και μεσαίου μεγέθους οργανισμοί, απλά δεν μπορούν να αντέξουν οικονομικά να αγνοήσουν την ασφάλεια”, δήλωσε ο Larry Ponemon , πρόεδρος του Ινστιτούτου Ponemon . “Χωρίς αυτή υπάρχει μεγαλύτερη πιθανότητα οι νέες τεχνολογίες να αντιμετωπίσουν επιθέσεις στον κυβερνοχώρο και αυτό είναι πιο πιθανό να κοστίσει σημαντικά ποσά στις επιχειρήσεις. Οι CIOs είναι υπό πίεση για να εφαρμόσουν νέες τεχνολογίες που προσφέρουν ένα ευέλικτο και αποτελεσματικό τρόπο εργασίας, ωστόσο αυτή η φιλοδοξία δεν πρέπει να υπερισχύει της ασφάλειας. Η βιομηχανία πρέπει να αναγνωρίσει τους πιθανούς κινδύνους από τη μη λήψη μέτρων  ασφάλειας στον κυβερνοχώρο σοβαρά και να δημιουργήσει συστήματα υποστήριξης για τη βελτίωση της ασφάλειας στις SMBs”.

Η μελέτη αφορούσε μικρές και μεσαίες επιχειρήσεις στις Ηνωμένες Πολιτείες, στο Ηνωμένο Βασίλειο, στη Γερμανία και στην Ασία-Ειρηνικό (Αυστραλία, Ινδία, Κίνα και Σιγκαπούρη) για να υπάρξει μία καλύτερη κατανόηση του τρόπου που τέτοιοι οργανισμοί διαχειρίζονται τους κινδύνους στην ασφάλεια και τις επιθέσεις τρομοκρατίας. Τα βασικά ευρήματα της μελέτης περιλαμβάνουν:

• Το 58% των ερωτηθέντων λένε ότι η διοίκηση/ διαχείριση δεν βλέπει τις επιθέσεις στον κυβερνοχώρο ως ένα σημαντικό κίνδυνο.

• Το ένα τρίτο των ερωτηθέντων παραδέχθηκε ότι δεν είναι σίγουρο αν κάποια επίθεση στον κυβερνοχώρο έχει συμβεί τους τελευταίους 12 μήνες ενώ το 42%  των ερωτηθέντων δήλωσε ότι η οργάνωσή τους έχουν υποστεί τουλάχιστον μια επίθεση στον κυβερνοχώρο τους τελευταίους 12 μήνες.

• Οι ερωτηθέντες στην πιο υψηλόβαθμες θέσεις έχουν την μεγαλύτερη αβεβαιότητα σχετικά με τις απειλές για τους οργανισμούς τους, κάτι που αποτελεί ένδειξη ότι όσο περισσότερο είναι απομακρυσμένο το από την ημερήσια, καθημερινή αντιμετώπιση των απειλών για την ασφάλεια, τόσο λιγότερο είναι ενημερωμένο για τη σοβαρότητα της κατάστασης και την ανάγκη να δοθεί η σχετική προτεραιότητα.

• Οι CISOs και τα ανώτερα διοικητικά στελέχη σπάνια συμμετέχουν στη λήψη αποφάσεων σχετικά με τις προτεραιότητες που αφορούν στην ασφάλεια. Αν και το 32% λέει ότι ο CIO είναι υπεύθυνος για τον καθορισμό των προτεραιοτήτων, το 31% λέει ότι όχι.

• To 44% των ερωτηθέντων λένε ότι η ασφάλεια IT δεν αποτελεί προτεραιότητα. Ως απόδειξη, το 42% λέει ότι ο προϋπολογισμός τους δεν είναι επαρκής για την επίτευξη μιας αποτελεσματικής πολιτικής ασφάλειας. Επιδεινώνοντας το πρόβλημα, μόνο το 26% του προσωπικού ΙΤ στην επιχείρηση τους έχει επαρκείς γνώσεις.

• Οι ερωτηθέντες εκτιμούν ότι το κόστος της διακοπής της κανονικής λειτουργίας της επιχείρησης τους είναι πολύ υψηλότερο από το κόστος των ζημιών ή της κλοπής των περιουσιακών στοιχείων και των βλαβών στις υποδομές IT.
• Οι υπηρεσίες BYOD και οι φορητές συσκευές θεωρούνται επίσης πολύ περισσότερο κίνδυνος για την ασφάλεια παρά η χρήση των cloud εφαρμογών και υπηρεσιών υποδομής  IT. Ωστόσο, οι ανησυχίες αυτές δεν αποτρέπουν την εκτεταμένη χρήση και την υιοθέτηση των κινητών συσκευών, ειδικά των προσωπικών συσκευών.

Η αβεβαιότητα σχετικά με τη στρατηγική ασφαλείας της εταιρείας τους και οι απειλές που αντιμετωπίζουν ποικίλλει στη βιομηχανία:

• Οι ερωτηθέντες στις χρηματοπιστωτικές υπηρεσίες – έχουν μεγαλύτερη εμπιστοσύνη και αυτοπεποίθηση, κάτι που πιθανώς μπορεί να αποδοθεί στις πολυάριθμες δικλείδες ασφαλείας για την  προστασία των δεδομένων και τους κανονισμούς που ισχύουν.
• Ο τομέας της τεχνολογίας έχει επίσης περισσότερες γνώσεις, και αυτό πιθανόν να οφείλεται στην τεχνογνωσία που υπάρχει σε αυτούς τους οργανισμούς.
• Στην λιανική, στην εκπαίδευση και στην έρευνα, στην ψυχαγωγία και στα μέσα ενημέρωσης έχουν το υψηλότερο επίπεδο ανασφάλειας και αβεβαιότητας σχετικά με τη στρατηγική ασφαλείας της εταιρείας τους καθώς και τις απειλές που αντιμετωπίζουν.

Συστάσεις:

• Οι οργανισμοί θα πρέπει να συγκεντρώσουν πόρους για την παρακολούθηση της κατάστασης της ασφάλειας τους , προκειμένου να παίρνουν έξυπνες αποφάσεις. Ενώ αξιολογούν το που στέκονται στον τομέα της ασφάλειας, οι οργανισμοί παράλληλα θα πρέπει να επικεντρωθεί στην παρακολούθηση, στην υποβολή εκθέσεων και στην προληπτική ανίχνευση τρομοκρατικών απειλών.

• Καθιέρωση των βέλτιστων πρακτικών ασφαλείας στα κινητά και στις υπηρεσίες BYOD. Ο προσεκτικός σχεδιασμός και η εφαρμογή μίας στρατηγικής για τα κινητά ώστε να μην έχουν επίπτωση στη συνολική στάση ασφαλείας τους.
• Οι οργανισμοί θα πρέπει να αναζητήσουν τρόπους για να γεφυρωθεί το χάσμα που δημιουργείται από την έλλειψη των επαγγελματιών και των ειδικών στον τομέα της ασφάλειας πληροφοριών. Θα πρέπει να σκεφτούν τρόπους για να απελευθερώσουν χρόνο και πόρους στην εταιρεία ή επιχείρηση, συμπεριλαμβανομένης μίας κίνησης προς τις τεχνολογίες cloud, προς κάποιους συμβούλους ασφαλείας καθώς και σε εύκολα διαχειρίσιμες λύσεις.

• Καλό θα ήταν οι οργανισμοί και επιχειρήσεις να αξιολογήσουν το κόστος των επιθέσεων στον κυβερνοχώρο, συμπεριλαμβανομένης της απώλειας παραγωγικότητας που προκαλείται από ένα downtime. Η στενή συνεργασία με τα ανώτερα διοικητικά στελέχη για την ασφάλεια στον κυβερνοχώρο αποτελεί προτεραιότητα ενώ θα πρέπει να γίνουν επενδύσεις σε λύσεις που να αποκαθιστούν την κανονική επιχειρηματική δραστηριότητα πιο γρήγορα ώστε να απολαμβάνουν υψηλή απόδοση επένδυσης .

• Οργανισμοί σε όλους τους τομείς παραβιάζονται συχνά και οι κανονισμοί είναι συχνά η αρχή για την σωστή ασφάλεια σε ένα δίκτυο. Καλό θα ήταν να εξεταστεί η δυνατότητα ενοποιημένης διαχείρισης της ασφάλειας, για να αποκτηθεί μία πιο σαφής εικόνα των απειλών, που θα βοηθήσουν την επιχείρηση να εστιάσει στις προβληματικές περιοχές.

 

Ένα πλήρες αντίγραφο της μελέτης του Ινστιτούτου Ponemon: “Το Ρίσκο μίας Αβέβαιης Στρατηγικής Ασφαλείας”, είναι διαθέσιμο εδώ.