Bezpieczeństwo, ryzyko i dostępność, czyli jak do bezpieczeństwa IT podchodzą polskie małe i średnie firmy

Raport przygotowany przez HP Polska we współpracy z Intelem opiera się o wywiady przeprowadzone z przedstawicielami 500 firm z sektora małych i średnich przedsiębiorstw działających w Polsce. Pracownicy odpowiedzialni za IT, czyli dyrektorzy, kierownicy i specjaliści, udzielali odpowiedzi na pytania w grudniu ubiegłego roku.

Miłym zaskoczeniem jest to, że przebadane firmy w większości wypadków (70 proc.) już teraz traktują priorytetowo kwestie bezpieczeństwa informacji. Ich przedstawiciele są przekonani, że są świadomi możliwości utraty danych.

Firmy starają się też chronić przed skutkami potencjalnych zagrożeń. Zaliczane są do nich utrata reputacji, straty finansowe, przerwy w działaniu, utrata klientów, kary od regulatorów i wyciek tajemnicy handlowej.

Przedsiębiorcy rozumieją przy tym, że praca nad bezpieczeństwem w IT tak naprawdę nigdy się nie kończy ze względu na nowe typy zagrożeń, nie stronią od przechowywania informacji w zdigitalizowaniej formie, ale też nie chcą bezpieczeństwa outsourcingować, chociaż to firmy z własnym lub wynajmowanym działem security są uznane za najlepiej przygotowane do radzenia sobie z zagrożeniami.

Tylko 9 proc. firm decyduje się powierzyć bezpieczeństwo firmowe danych zewnętrznym podmiotom. Jednocześnie przedsiębiorcy nie mają zamiaru przeznaczać mniejszych środków finansowych na bezpieczeństwo IT, ale niestety nie chcą zwiększać budżetów na ten cel. Widać natomiast korelację pomiędzy zwiększonymi nakładami a wielkością firmy. Więcej wydawać będą też przedsiębiorstwa B2B.

Okazuje się, że zaledwie 5 proc. przyczyn wszystkich przypadków utraty danych związane jest z cyberatakami. Największego strachu nie wzbudza zresztą nic związanego z czynnikiem ludzkim, a wykradanie danych lub ich usuwanie przez przestępców nie jest powszechne.

To w końcu nie ataki wymierzone w wykradzenie tajemnic firmowych czy niefrasobliwość pracowników skutkująca usunięciem krytycznych informacji jest uznawana za potencjalny problem. Za największe zagrożenie uznane zostały… katastrofy naturalne.

Spece z działu IT muszą tak działać, by firma nie zauważyła żadnych negatywnych efektów dbania o bezpieczeństwo. Wdrażanie procedur i rozwiązań z obszaru security nie może negatywnie odbijać się na innowacyjności przedsiębiorstwa.

Nacisk kładzie się nie tylko na walkę ze skutkami utraty danych, ale jej zapobieganiu. Ważne jest przeszkolenie pracowników: muszą być oni świadomi tego, jak minimalizować ryzyko wystąpienia niepożądanej sytuacji.

Zaskoczyło mnie, że to firmy lokalne przywiązują do tego większą wagę (72 proc.), a firmy o zasięgu międzynarodowym i działające na rynku B2B nadają bezpieczeństwu mniejszy priorytet (odpowiednio 66 proc. i 63 proc. wskazań). Za najbezpieczniejsze branże uznaje się produkcję, usługi i handel.

Nie we wszystkich firmach istnieje osobna komórka zajmująca się bezpieczeństwem, co, akurat, nie jest dobrym sygnałem. Zwykle dbanie o dane i informacje spada na głowę szefa działu IT, który ma przecież też inne obowiązki, a rozproszony model obecny jest w aż 36 proc. przedsiębiorstw - głównie w branży usługowej i B2C.

Zajmuje się tym tylko 44 proc. badanych firm. Nieco otuchy dodaje fakt, że aż 60 proc. firm zaplanowało co robić w razie awarii i ma udokumentowany plan - a współczynnik ten jest jeszcze wyższy (73 proc.) jeśli brać pod uwagę przedsiębiorstwa mające niezależną komórkę ds. bezpieczeństwa lub zlecające dbanie o nie zewnętrznym podmiotom. Potwierdza to ponownie, że własny dział lub outsourcing to słuszne podejście.

Co jednak ciekawe, nie wszystkie firmy zainteresowane są naprawdę rychłym usunięciem awarii. Tylko 16 proc. badanych chce usunięcia awarii w przeciągu maksymalnie godziny - dużą wagę przywiązują do tego, co zrozumiałe, firmy handlowe. Optymalny czas usunięcia awarii to jednak aż 4 godziny, a co piąta firma daje sobie na to nawet 12 godzin lub… całą dobę.

Podobnie do niedostępności systemów wygląda sprawa utraty danych. Przedstawiciele firm są gotowi stracić ich więcej, niż mogłoby się wydawać. Dopiero utrata danych z ostatniego miesiąca jest wskazywana przez największą część z nich - 82 proc. - jako prawdziwie bolesna strata.

Utrata danych z tygodnia jest uznana za krytyczne zagrożenie już tylko dla 66 proc. ankietowanych, a z ostatniego dnia - dla nieco ponad połowy. W przypadku danych z ostatniej godziny już tylko jedna trzecia firm się tym mocno przejmuje, a dla reszty to pomijalne zagrożenie.

Przedstawiciele firm nie chcą inwestować w bezpieczeństwo IT więcej niż rok temu. Z drugiej strony zgadzają się generalnie ze stwierdzeniem, że do zwiększenia bezpieczeństwa potrzeba by było inwestycji w systemy IT.

W celu poprawy bezpieczeństwa firmy powinno się modernizować infrastrukturę i zainteresować się rozwiązaniami do archiwizacji danych. Warto zadbać o odpowiedni backup i wprowadzić narzędzia monitorujące ochronę danych.

Niewiele firm wskazuje jako dobry plan przeniesienie danych do chmury (15 proc.) i wspominany już outsourcing (13 proc.). Dzisiaj z backupu w chmurze korzysta tylko 18 proc. ankietowanych przedsiębiorców, a zaledwie 6 proc. planuje z tego rozwiązania korzystać w przyszłości.

Wirtualizacja jest znacznie częściej wdrażana od chmury. Już teraz korzysta z niej w przypadku systemów 36 proc. firm. Dodatkowe 13 proc. korzysta z wirtualizacji pamięci masowych, a 9 proc. firm myśli o wdrożeniu takiego rozwiązania.

Powyżej omówiłem tylko najważniejsze wnioski płynące z nowego dokumentu dotyczącego bezpieczeństwa IT w sektorze MŚP. Z pełnym raportem “Bezpieczeństwo. Ryzyko. Dostępność” udostępnionym w formacie PDF można zapoznać się po pobraniu go ze strony HP Polska dla Biznesu (www.hppolskadlabiznesu.pl).