Czterdzieści siedem procent respondentów w badaniu odpowiedziało, że ich organizacja zredukowała w ostatnim czasie inwestycje związane z bezpieczeństwem, a 46% wskazało, że zmniejszeniu uległy również wydatki operacyjne. Odpowiedzialni za bezpieczeństwo informacji uważają, że redukcja wydatków na bezpieczeństwo poskutkowała w ich organizacjach stagnacją lub wręcz regresem w niektórych fundamentalnych obszarach, takich jak np. podstawowa weryfikacja życiorysu pracowników czy stosowanie specjalistycznych narzędzi do monitorowania bezpieczeństwa.

Głównymi czynnikami kształtującymi obecnie poziom finansowania bezpieczeństwa informacji są (wg liczby wskazań przez respondentów):
- warunki ekonomiczne (49% odpowiedzi respondentów)
- potrzeba zapewnienia ciągłości procesów i procedury awaryjne (40%),
- troska o reputację firmy (35%),
- potrzeba zapewnienia zgodności z wewnętrznymi regulacjami (34%)
- stosowane wymogi prawne (33%)

Jak pokazuje badanie, w ciągu ostatnich kilku lat większość czynników tradycyjnie wskazywanych jako uzasadnienie wydatków na bezpieczeństwo informacji (jak np. wymagania prawne/regulacyjne, możliwa odpowiedzialność prawna, redukcja ryzyka, możliwy wpływ na przychody czy fachowa ocena i normalna praktyka biznesowa) traci coraz bardziej na znaczeniu– jedynym wyjątkiem, notującym poważny wzrost, są w tym roku “wymagania klienta”. Czynnik ten awansował z końca listy w 2007 r.  do poziomu niemal równorzędnego z utrzymującymi najwyższe pozycje czynnikami prawno-regulacyjnymi. Badanie ukazuje również ewolucję ścieżki raportowania CISO, który wcześniej częściej odpowiadał służbowo przed CIO, podczas gdy teraz coraz częściej w strukturze firmy umiejscowiony jest bliżej kierownictwa najwyższego szczebla.

„Zmiana ta jest odbiciem ewolucji, jaką od pewnego czasu przechodzą jednostki organizacyjne zajmujące się bezpieczeństwem informacji w firmach.  Obserwujemy, że dokonuje się ścisła integracja tych funkcji z  biznesem, wzrasta również strategiczne znaczenie bezpieczeństwa informacji” – podkreśla Jeremi Gryka, wicedyrektor w zespole ds. systemów i kontroli wewnętrznej PwC.

W  tegorocznym badaniu wielu menedżerów wskazało, że ich partnerzy biznesowi (52%) oraz dostawcy (50%) odczuli konsekwencje zmiany koniunktury gospodarczej (w 2009 r. było to odpowiednio 43% i 42%).

“Skoro outsourcing i offshoring stały się normalnym elementem sposobu działania wielu organizacji, jest w pełni zrozumiałe, że coraz więcej firm niepokoi się pogorszeniem kondycji swoich partnerów biznesowych i dostawców. Ryzyko osłabienia kontroli w zakresie bezpieczeństwa informacji oraz zmniejszenia poziomu zabezpieczeń u partnerów i dostawców może mieć bowiem bezpośrednie przełożenie na biznes organizacji” – tłumaczy Jeremi Gryka. „Obawy dotyczące poziomu zabezpieczeń mogą być szczególnie odczuwalne na polskim rynku, gdzie stosunkowo rzadko stosowane są efektywne rozwiązania, zapewniające odbiorcom usług odpowiedni poziom wiedzy i komfortu na temat zabezpieczeń u dostawców.”

Wyniki badania pokazują również, że wiele firm sięga po dodatkowe narzędzie – ubezpieczenie – aby chronić się przed skutkami kradzieży oraz nadużyciami aktywów takich jak informacje wrażliwe czy dane o klientach. Czterdzieści sześć procent ankietowanych odpowiedziało, że ich firmy posiadają stosowną polisę ubezpieczeniową. Dodatkowo, 17% zadeklarowało, że ich organizacje zgłosiły szkody,  a 13% otrzymało odszkodowanie.

Badanie „Globalny stan bezpieczeństwa informacji 2011” ujawniło, że wiele firm nie jest przygotowanych na ryzyka wynikające z użytkowania portali społecznościowych, blogów, portali wiki    i innych aplikacji Web 2.0, w tym utratę lub wyciek informacji, utratę reputacji, nielegalne pobieranie pirackich materiałów czy kradzież tożsamości. Sześćdziesiąt procent respondentów odpowiedziało,     że ich organizacja nie wdrożyła jeszcze zabezpieczeń wspierających komunikację Web 2.0, a 77% że nie stworzyła nawet żadnych polityk bezpieczeństwa odnoszących się do użycia tych technologii.

 „Celem pracodawcy powinno być przede wszystkim umiejętne sterowanie procesami automatyzacji zbierania danych przez portale społecznościowe” – podkreśla radca prawny Janusz Piotr Kolczyński, kierujący praktyką własności intelektualnej, nowych technologii, prywatności i ochrony danych osobowych PwC Legal. „Istotne jest również rozpoznanie prawa właściwego dla danych portali społecznościowych, po czym przeprowadzenie oceny ryzyk prawnych związanych z wyciekiem danych w myśl tego prawa”. 

Metodologia

Badanie „Globalny stan bezpieczeństwa informacji 2011” (The 2011 Global State of Information Security Survey®), jest badaniem o zasięgu światowym, prowadzonym przez PricewaterhouseCoopers oraz magazyny CIO i CSO. Badanie było przeprowadzone on–line w pierwszej połowie 2010 r. Czytelnicy magazynów CIO i CSO oraz klienci PricewaterhouseCoopers z całego świata byli proszeni o udział w ankiecie drogą e-mailową.
Więcej: http://www.pwc.com/pl/giss2011.