Tyto útoky stále velké podniky v průměru 2 mil. USD ročně. Organizace uváděly, že zabezpečení je stále obtížnější kvůli nedostatku zaměstnanců, novým iniciativám v oblasti IT, které stupňují potíže se zabezpečením, a kvůli problémům se zajištěním souladu IT s předpisy. Studie vychází z průzkumu provedeného v lednu 2010 ve 27 zemích mezi 2 100 podnikovými vedoucími pracovníky z řad CIO, CISO a manažery IT.

„Ochrana informací je dnes náročnější než kdykoli dříve,“ řekl Francis deSouza, senior vice president, Enterprise Security, společnost Symantec Corp. „Podniky, které zavedou model zabezpečení, který chrání jejich infrastrukturu a informace, vynucuje zásady IT a efektivněji spravuje systémy, mohou zvýšit svoji konkurenční výhodu v současném světě závislém na informacích.“

Nejdůležitější zjištění studie:

• Zabezpečení je v globálních organizacích připisován značný význam. 42 % velkých podniků hodnotí počítačová rizika jako jeden z hlavních problémů, vážnější než přírodní katastrofy, terorismus a tradiční kriminalitu dohromady. To se odráží v tom, že oddělení IT se cílevědomě zaměřuje na zabezpečení podniku. Oddělení IT vyčleňuje na zabezpečení a soulad IT v průměru 120 zaměstnanců. Podniky hodnotily záměr „lépe řídit obchodní rizika IT“ jako hlavní cíl roku 2010 a 84 % respondentů jej hodnotilo jako nanejvýš nebo poměrně důležitý. Téměř všechny dotazované podniky (94 %) předpovídaly změny v zabezpečení v roce 2010 a téměř polovina (48 %) očekávala podstatné změny.
• Podniky očekávají časté útoky. V uplynulých 12 měsících zaznamenalo 75 % podniků počítačové útoky a 36 % hodnotilo útoky jako poměrně nebo vysoce úspěšné. Co je ještě horší, 29 % podniků uvedlo, že se v uplynulých 12 měsících počet útoků zvýšil.
• Každý podnik (100 %) zaznamenal v roce 2009 ztráty související s IT. Tři nejčastěji uváděné ztráty byly krádež duševního vlastnictví, krádež informací o kreditních kartách zákazníků nebo jiných finančních informací a krádež určitelných osobních údajů zákazníků. Tyto ztráty byly z 92 % spojeny s finančními škodami. Tři nejvyšší škodní položky vznikly na produktivitě, tržbách a ztrátou důvěry zákazníků. Podniky uváděly výdaje na boj s počítačovými útoky v průměrné výši 2 mil. USD ročně.
• Zabezpečení podniků je stále obtížnější kvůli několika faktorům. Zaprvé, zabezpečení podniků se nevěnuje dostatečný počet zaměstnanců. Nejpostiženějšími oblastmi jsou zabezpečení sítí (44 %), zabezpečení koncových bodů (44 %) a zabezpečení zasílání zpráv (39 %). Zadruhé, podniky zahajují nové iniciativy, které ztěžují zajištění zabezpečení. Iniciativy hodnocené pracovníky IT jako nejvíce problematické z hlediska zabezpečení jsou infrastruktura jako služba, platforma jako služba, virtualizace serverů, virtualizace koncových bodů a software jako služba. Obrovským úkolem je také zajištění souladu IT. Typický podnik zkoumá 19 různých standardů nebo rámců IT a osm z nich v současné době používá. Hlavní standardy jsou ISO, HIPAA, Sarbanes-Oxley, CIS, PCI a ITIL.

„Dobrým příkladem organizace, která zavedla účinnou strategii zabezpečení s důrazem na proaktivní řešení problémů, je Abu Dhabi Commercial Bank,“ pokračoval de Souza. „Tato společnost má kompletní řešení sestávající z produktů a služeb, které zajišťuje ochranu, sledování hrozeb a reakci na hrozby 24 hodin denně, to vše za pevnou roční cenu. Toto pojetí je ekonomicky výhodnější než zabezpečovat síť až po jejím narušení.“

Doporučení

• Organizace musejí chránit své infrastruktury zabezpečením svých koncových bodů, prostředí zasílání zpráv a webových prostředí. Prioritou by také měla být ochrana důležitých interních serverů a zavedení nástrojů pro zálohování a obnovení dat. Organizace také potřebují získat přehled a aktuální informace o bezpečnostní situaci, aby mohly rychle reagovat na hrozby.
• Správci IT musejí proaktivně chránit informace a k tomu je zapotřebí zaujmout informačně orientovaný přístup k ochraně informací a interakcí. Pro ochranu informací má zásadní význam znalost obsahu. Je základním předpokladem pro získání přehledu o umístění citlivých informací, o přístupu uživatelů k informacím a o cestách, kterými informace do organizace vstupují a kterými ji opouštějí.
• Organizace musejí vypracovat a vynucovat zásady IT a automatizovat proces zajišťování souladu. Zákazníci, kteří stanoví priority rizik a definují zásady vztahující se na všechna místa, mohou vynucovat zásady prostřednictvím automatizovaných procesů a pracovních postupů. Nemusejí pouze identifikovat hrozby, ale mohou průběžně řešit incidenty nebo je předvídat ještě dříve, než k nim dojde.
• V rámci správy systémů musejí organizace vytvářet bezpečná operační prostředí, distribuovat nejnovější opravy a vynucovat jejich instalaci, automatizací procesů zvyšovat efektivitu a sledovat a vykazovat stav systémů.

Zdroje informací

• Video 2010 Symantec State of Enterprise Security Study na webu YouTube
• Studie 2010 Symantec State of Enterprise Security
• Prezentace 2010 Symantec State of Enterprise Security Study na webu Slideshare.net.