Jak wynika z badania Ponemon institute, średnia strata spowodowana kradzieżą firmowych danych wynosi obecnie 4 mln USD, co oznacza wzrost o 29 proc. w stosunku do roku 2013.
W efekcie firmy są zmuszone do ciągłej walki o utrzymanie skutecznej ochrony przed zagrożeniami i to w taki sposób, by nie wpływało to na rozwój ich biznesu. Pomimo powszechnego strachu przed cyberprzestępcami zdarza się jednak, że kadra zarządzająca lekceważy skalę i znaczenie zagrożeń.
Dzieje się tak, gdy bezpieczeństwo znajduje się nisko na liście korporacyjnych priorytetów, a zarząd nie przywiązuje do niego wagi. Sytuację dodatkowo komplikuje fakt, że z jednej strony 30 proc. specjalistów IT uważa, że CEO powinien odpowiadać za utratę poufnych informacji, a z drugiej – aż jedna czwarta z nich w ogóle nie ujawnia faktu kradzieży danych wyższej kadrze zarządzającej.
Kradzież danych z systemów firmy, czyli ataki ukierunkowane
Wyniki ostatniego badania VMware przeprowadzonego przez firmę Vanson Bourne ujawniają niepokojący brak zrozumienia w kwestiach ochrony danych pomiędzy działem IT a kadrą odpowiadającą za biznes, co stanowi ryzyko dla całej firmy. Przynoszący ogromne straty finansowe wyciek danych ma też rujnujące działanie dla reputacji przedsiębiorstwa, a tego typu szkodę bardzo trudno naprawić. Dlatego, oprócz zmian w infrastrukturze IT, sporo wysiłku należy włożyć w działania edukacyjne – po to, by biznes był przygotowany na każdy możliwy scenariusz.
Zachowanie równowagi
Oprócz zapewnienia odpowiedniej kultury korporacyjnej, przedsiębiorstwa muszą inwestować w infrastrukturę wspierającą mobilną pracę. W 2014 roku światowa liczba użytkowników urządzeń mobilnych przerosła liczbę użytkowników komputerów stacjonarnych, co było wyrazem rosnącego znaczenia pracy wykonywanej poza biurem. Praca przestaje być powiązana z konkretnym miejscem, do historii przechodzi także model „od 9-tej do 17-tej”.
Ma to oczywiście wpływ na kwestie bezpieczeństwa. Jeśli przedsiębiorstwa zezwalają na pracę zdalną, to muszą wdrożyć odpowiednie procedury zabezpieczające, by nie narażać firmowych zasobów. Wobec coraz większego dostępu do „prywatnych” danych z rozmaitych urządzeń mobilnych, laptopów czy wearables, wykorzystywanych również w celach służbowych, ryzyko, że firma stania się celem ataku cyberprzestępców, bardzo wzrasta.
Polecamy: Jednolity Plik Kontrolny – praktyczny poradnik (wydanie II z dodatkiem specjalnym) (książka)
Nasze badanie wykazały, że 22 proc. pracowników w regionie EMEA zaryzykowałoby naruszenie procedur bezpieczeństwa po to, by efektywniej wykonywać swoją pracę. Trzeba więc zadać pytanie: czy liczba ta byłaby mniejsza, gdyby firmy bardziej restrykcyjnie podchodziły do szkolenia swoich pracowników w zakresie bezpieczeństwa? Tradycyjnie bezpieczeństwo postrzegane jest bardziej jako ochrona przed zagrożeniami zewnętrznymi, niż wewnętrznymi. Tymczasem dopiero kompleksowe rozwiązanie jest w stanie zabezpieczyć biznes i zapewnić narzędzia, które pozwolą pracownikom bezpiecznie wykonywać obowiązki, gdy znajdują się poza biurem.
Co przyniesie GDPR?
General Data Protection Regulation (GDPR) to nowa regulacja unijna, która zacznie obowiązywać w maju 2018 r. Choć jej celem jest zapewnienie spójności w obecnych przepisach ochrony danych oraz dostarczenie wytycznych dotyczących przechowywania informacji klientów, to niepokoi fakt, że aż 56 proc. specjalistów IT w regionie EMEA wątpi, by było w stanie dostosować się do wszystkich wymogów GDPR.
Internet narzędziem wspierającym sprzedaż
GDPR od momentu wejścia w życie będzie jednak stanowić „siłę sprawczą” i ważne jest, by firmy zaczęły już teraz przygotować się do tej regulacji. Można ponadto przypuszczać, że GDPR będzie miała wpływ również na organizacje spoza obszaru UE.
Jak sprawdzić wiarygodność producenta aplikacji działającej w chmurze?
Nowe podejście
Z jednej strony era cyfrowego biznesu, z drugiej – coraz bardziej zaawansowane cyberzagrożenia sprawiają, że rośnie potrzeba wdrożenia nowego podejścia do ochrony reputacji firmy i utrzymania zaufania klientów. Bezpieczeństwo musi być wbudowane w projekt od samego początku, a nie dokładane w jego dalszej fazie. Zbyt często zasady bezpieczeństwa i zapewnienia zgodności z przepisami są tworzone wtedy, gdy system już powstał i został uruchomiony. Tymczasem powinny należeć do podstaw IT. Zadbanie o bezpieczeństwo, jako podstawę procesów biznesowych, doprowadzi do szybszego wprowadzania produktów i usług na rynek, ponieważ przechodzenie od fazy rozwoju przez testowanie do produkcji nie będzie wymagać wprowadzania zmian.
Zabezpieczenia oparte o architekturę definiowaną programowo, wbudowywane w całą infrastrukturę IT – od centrum danych do urządzenia końcowego – stają się kluczowym elementem ochrony przed cyberzagrożeniami. Im dane są cenniejsze, tym bardziej rośnie ryzyko ataku na firmę. Hakerzy stosują coraz bardziej wyrafinowane metody, dlatego wzrasta zagrożenie ataku, a firmy muszą być świadome jego konsekwencji. W związku z groźbą wycieku danych klientów i w rezultacie nadwyrężenia reputacji firmy, a także poniesienia kar finansowych, przedsiębiorstwa muszą priorytetowo traktować bezpieczeństwo IT i odpowiednio szkolić pracowników. Tylko takie działanie pozwoli ochronić biznes przez cyberprzestępcami.
Autor: Bartłomiej Ślawski, Country Manager VMware w Polsce