Brak specjalistów utrudnia firmom zapewnienie bezpieczeństwa
Różne organizacje okazują się w coraz większym stopniu narażone na ryzyko utraty reputacji w związku z nowymi przepisami wprowadzanymi na całym świecie.
Raport, zamówiony przez firmę McAfee i przygotowany przez Dr. Jonathana Liebenaua sugeruje, że przedsiębiorstwa mają trudności z zapewnianiem sobie zasobów niezbędnych do zachowania zgodności z odpowiednimi lokalnymi przepisami. Opracowanie zatytułowane „Międzynarodowe perspektywy praktyki w dziedzinie bezpieczeństwa informacji” ostrzega, że reputacja przedsiębiorstwa może ucierpieć w wyniku przepisów dotyczących ujawniania informacji wprowadzonych niedawno w USA i których wprowadzenie jest rozważane w innych krajach.
Raport pokazuje także, że wiele firm korzysta z bardzo niewielkiej liczby specjalistów, którzy potrafią zarządzać ryzykiem informatycznym i rozumieją zagadnienia zgodności z przepisami. Gdy przedsiębiorstwo z jakichś powodów traci tych ludzi, często trudno jest mu ich zastąpić – nie tylko za pośrednictwem rynku pracy, ale i przez outsourcing.
Przykładem bezpośredniego związku pomiędzy zabezpieczeniami informatycznymi, a strategicznymi funkcjami biznesowymi jest wymóg publicznego informowania o naruszeniu bezpieczeństwa. Wymóg ten obowiązuje w prawodawstwie amerykańskim od 2004 roku i stwarza on poważne zagrożenie dla reputacji firmy i ciągłości prowadzenia biznesu. Niedawne badanie przeprowadzone przez amerykański Instytut Ponemon wykazało, że jedna trzecia (34%) klientów zmieniłaby swój bank po zaledwie jednym przypadku naruszenia jego zabezpieczeń.
Dr Liebenau zaobserwował, że w połowie 2006 roku informacje o naruszeniu zabezpieczeń w USA pojawiały się z częstością od 8 do 10 zdarzeń na tydzień. Wymogi prawne dotyczące ujawniania naruszeń zabezpieczeń mogą zwiększać ryzyko dotyczące bezpieczeństwa, jako że obawy dotyczące zgodności z przepisami, wytycznymi i standardami przeważają nad potrzebami związanymi z rzeczywistym bezpieczeństwem firmy. Ponadto koszty monitorowania i zachowywania zgodności z przepisami mogą skutkować brakiem zasobów w obszarze zwalczania rzeczywistych zagrożeń dla bezpieczeństwa.
„Również na polskim rynku dostrzegamy coraz większe zainteresowanie ze strony bardzo dużych firm, szczególnie z sektorów finansowego i telekomunikacji, mechanizmami wymuszania zgodności z normami bezpieczeństwa. W większości są to polskie oddziały międzynarodowych korporacji, w których trwa właśnie proces implementacji takich norm jak SOX (Sarbanes-Oxley), czy ISO. Coraz częściej jednak są to również duże firmy o wyłącznie polskich korzeniach, a szczególnie banki” – powiedział Robert Żelazo, dyrektor generalny McAfee Polska.
