Securitatea informatiei lasa de dorit la marile institutii financiare

Securitatea informatiei lasa de dorit la marile institutii financiare

[Miercuri, 19 Sep 2007]

Exista o discrepanta uriasa intre gradul de constientizare a problemelor de securitate si identificarea de solutii Conform celui mai recent studiu Deloitte, problemele privind securitatea informatiei continua sa atraga atentia directorilor executivi din marile institutii financiare ale lumii.

Cu toate acestea, in mare parte, rezolvarea problemelor este lasata in seama departamentelor IT. Mai putin de doua treimi din participantii la studiul Deloitte, "Securitatea la Nivel Global 2007", detin o strategie privind securitatea informatiei. Doar 10% din companiile participante la acest studiu au un director de securitate responsabil de gestionarea problemelor legate de securizarea informatiei.

Rezultatele studiului releva urmatorul paradox: exista o discrepanta uriasa intre gradul de constientizare a problemelor de securitate si identificarea de solutii.

Printre altele, studiul arata ca principala cauza a fraudarilor externe continua sa fie factorul uman, reprezentat de angajati ai companiei, clienti, terti si parteneri de afaceri.

Rezultatele studiului atrag atentia asupra paradoxului cu care se confrunta institutiile financiare in ceea ce priveste securitatea, participantii identificand problemele de securitate cu care trebuie sa se confrunte, precum si strategiile necesare in vederea imbunatatirii gradului de securitate si de confidentialitate. Cu toate acestea, numeroase institutii financiare nu reusesc sa faca fata problemelor.

In ceea ce priveste fraudarile, clientii reprezinta cel mai mare motiv de ingrijorare pentru companii. Studiul Deloitte arata ca principalele trei tehnici de fraudare, cele care au fost enuntate de majoritatea participantilor la studiu, sunt virusii, atacurile prin e-mail, in principal spam-uri, si atacurile de phishing/pharming.
Toate aceste fraudari sunt realizate prin intermediul clientilor, folositi ca sursa indirecta de informatii si mijloc de propagare a datelor in cadrul institutiilor financiare.

Desi acestea au de suferit in mod direct de pe urma fraudarilor, reprezentantii lor sunt destul de reticenti in ceea ce priveste securizarea computerelor clientilor, cel mai probabil datorita implicatiilor unui astfel de proces. La intrebarea "Considerati ca trebuie sa va asumati responsabilitatea in ceea ce priveste securizarea computerelor clientilor care fac afaceri on-line cu dvs.?", doua treimi din subiecti, adica 66%, au raspuns negativ.

Pe langa fraudele realizate prin intermediul clientilor, companiile se confrunta cu numeroase cazuri de fraude realizate de catre angajati: greseli (actiuni voluntare) si omiteri (actiuni involuntare). 91% din participantii la studiu acorda o atentie deosebita activitatilor desfasurate de catre angajati si numesc factorul uman ca fiind cauza principala a esecurilor in materie de securitate a informatiei (79%).

Atacurile prin e-mail, principala metoda de fraudare

Desi greselile si omisiunile facute de angajati sunt considerate a fi principalii factori care ameninta securitatea informatiei, aproape un sfert (22%) din participantii la studiu nu au oferit angajatilor traininguri de securitate. 30% din directorii participanti la studiu sunt de parere ca angajatii pot face fata cu brio problemelor de securitate.

Specialistii Deloitte spun ca, in ciuda acestor discrepante, identificarea problemelor este o etapa extrem de importanta parcursa de catre institutiile financiare in vederea reducerii acestor diferente.

Constientizarea problemelor, organizarea de traininguri de securitate, managementul angajatilor, al clientilor si al furnizorilor, protejarea informatiilor reprezinta principalele actiuni intreprinse anul acesta de catre companii, pentru a combate amenintarile aduse la adresa securitatii informatiilor.

Atacurile prin e-mail reprezinta principala metoda de fraudare externa cu care s-au confruntat institutiile financiare in ultimul an, aproape 57%. Doua treimi din participantii la studiu, adica 66%, sunt de parere ca protejarea computerelor clientilor care desfasoara tranzactii on-line nu trebuie sa faca parte din responsabilitatile acestora.

Teoretic, toti participantii la studiu, aproape 98%, indica o crestere a bugetelor alocate securitatii, insa 35% din acestia sunt de parere ca investitiile in securitatea informatiei nu acopera in intregime domeniul de activitate. Schimbarea prioritatilor si problemele de integrare reprezinta principalele cauze de esec pentru proiectele de securitate a informatiei, 48%, respectiv 32%.

Cele mai dese fraudari interne sunt in SUA

In regiunea EMEA, adica Europa, Orientul Mijlociu si Africa, 39% din participantii la studiu considera ca au capacitatea si resursele necesare pentru a face fata in mod eficient provocarilor prezente si viitoare privind securitatea. Majoritatea participantilor, 82%, arata ca securitatea reprezinta un subiect prioritar pe agenda consiliilor directoare, 77% din acestia considerand ca au motivatia necesara si resursele financiare pentru a fi in conformitate cu cerintele de reglementare.

In ceea ce priveste fraudarile, numarul institutiilor financiare din Europa, Orientul Mijlociu si Africa care s-au confruntat cu fraudari interne (31%) si externe (71%) depaseste media globala de 30%, respectiv 65%. Comunitatea Statelor Independente (CSI) este regiunea care s-a confruntat cu cele mai multe cazuri de fraudare externa.

Aproape 65% din participantii la studiu s-au confruntat cu atacuri externe, in comparatie cu 65%, atacuri externe raportate la nivel global. CSI este a doua regiune, dupa Japonia, care a inregistrat cel mai scazut procent de fraudari interne in ultimul an, numai 38%. Alaturi de Japonia, CSI se situeaza pe primul loc in topul companiilor care detin o strategie de securitate, aproape 75% din participati sustin ca au o asemenea strategie.

In regiunea Asia-Pacific, cu exceptia Japoniei, peste trei sferturi din subiectii participanti la studiu, aproape 80%, au declarat ca securitatea reprezinta un punct extrem de important pe agenda managerilor companiei. Peste 60% din institutiile financiare din aceasta regiune au o strategie de securitate. Doar 7% din participanti considera ca au capacitatea si resursele necesare pentru a face fata provocarilor prezente si viitoare in materie de securitate.

Desi, in cazul Japoniei, anul acesta, managementul nu este implicat in problemele de securitate si confidentialitate, companiile din Japonia sunt pe primul loc in urmatoarele aspecte. Lipsa unei strategii de securitate, 75%, lipsa unui director responsabil cu securitatea, 100%, cel mai scazut nivel de fraudari externe, 35%, si interne, aproape 15%.

Conform studiului, institutiile financiare din Japonia sunt surclasate in privinta acordarii de prime angajatilor din segmentul IT, pentru rezolvarea problemelor legate de securitate. Doar 40%, comparativ cu aproape jumatate, la nivel global. Firmele japoneze nu stau mai bine nici la capitolul constientizarea importantei securitatii la nivel de conducere, peste 71 de procente.

In Statele Unite ale Americii, in aproape 90% din cazuri, securitatea reprezinta un punct extrem de important pe agenda consiliilor directoare. Totodata, 80% din cei intrebati au spus ca exista motivatia si resursele financiare necesare pentru a fi in conformitate cu cerintele de reglementare.

Aproape 70% din companiile financiare din SUA acorda prime angajatilor IT pentru rezolvarea problemelor legate de securitate, in timp ce 95% organizeaza in ultimul an a cel putin un training de securitate. Conform datelor furnizate de catre participantii la studiu, SUA au cel mai mare numar de institutii financiare care s-au confruntat in ultimul an cu cel putin un caz de fraudare interna.

Securitatea IT, o problema extrem de importanta in SUA

Canada gestioneaza cel mai bine problemele legate de securitate si confidentialitate a informatiilor. Peste 90% din participantii la studiu au declarat ca institutiile ce le au sub conducere au un director de securitate, iar 80% detin un program care le permite o buna gestionare a problemelor legate de confidentialitate.

Canada se afla pe ultimul loc la gradul de motivatie si alocarea de resurse financiare necesare pentru a fi in conformitate cu cerintele de reglementare, pentru ca jumatate din repondenti nu au bani pentru solutii de securizare. Acelasi ultim loc il detine Canada si in topul institutiilor financiare care detin o strategie de securitate, doar 27 de procente.

In regiunea America Latina si Caraibe, ca si in ultimii doi ani, institutiile financiare nu se arata prea preocupate de aspectele legate de securitate. Acest lucru este demonstrat de altfel si de procentul scazut al celor care detin un program de gestionare a problemelor legate de confidentialitate.

Doar 31%, in timp ce numai 30% din companiile financiare din aceasta regiune au angajat un director de securitate. America Latina si Caraibe se afla la coada clasamentului si la capitolul organizarea de traininguri de securitate pentru angajati, numai 61%.

Pe de alta parte, regiunea detine unul dintre cele mai ridicate procente de institutii care detin o strategie de securitate, aproape 70% din total. Majoritatea participantilor la studiu, aproape 80%, considera ca securitatea in afaceri reprezinta un punct important pe agenda conducerii companiei.

Romania, in topul statelor care "furnizeaza" atacuri informatice

La noi, cele mai importante initiative in domeniul securitatii informatice sunt legate de verificarea periodica a sistemelor informatice ce deservesc sistemele de electronic banking. Alaturi de acestea mai sunt luate in "vizor" si sistemele expuse riscurilor de securitate introduse de conexiunea la retelele publice de date.

Verificarea formala a securitatii sistemelor de internet banking este, in mod particular, bine reglementata, mai ales ca in ultimii ani a devenit un produs cuprins in oferta majoritatii bancilor din Romania, atat la nivel corporate, cat si pentru utilizatorii individuali, sustine Radu Herinean, enterprise risk manager la Deloitte Romania.

Directorii de IT din Romania sunt tot mai preocupati de problemele de confidentialitate, integritate si disponibilitate a datelor. Insa strategiile de IT sunt dezvoltate sau aplicate cel mai adesea in baza metodologiilor aprobate la nivel de grup de fiecare companie multinationala in parte.

Acolo unde structura corporativa o permite sau o impune, insa cel mai adesea politica de securitate depinde de factori interni precum bugetul sau disponibilitatea de personal intern specializat. Iar acest lucru se intampla in conditiile in care Romania se afla, in continuare, in topul statelor care "furnizeaza" atacuri informatice.

Specialistii de la Deloitte Romania spun ca, pe partea de legislatie, initiativele romanesti au fost coerente si cuprinzatoare, insa, din pacate, si in acest domeniu eforturile de implementare trebuie sustinute activ pentru a exista rezultate palpabile.


Citeste tot articolul in : ADEVARUL

Alte stiri financiare/auto similare