Odată cu dezvoltarea accelerată a tehnologiei şi creşterea riscurilor şi ameninţărilor cibernetice, securitatea informaţiilor trebuie sa fie abordată prin strategii pe termen lung şi să fie coordonată de echipe specializate şi bine pregătite. Acest lucru implică bugete dedicate şi o selecţie atentă a ofiţerilor responsabili cu securitatea informaţiei, ei având rolul dificil de a ţine ameninţările cibernetice la distanţă.
“În ultimii ani, importanţa poziţiei de specialist de securitate în contextul business-ului a crescut şi în România; companii care până acum câţiva ani nu aveau asemenea poziţii deschise sau manifestau un interes limitat faţă de acest subiect devin tot mai conştiente de nevoia de a acoperi această arie de importanţă strategică”, spune Bogdan Petre, manager al diviziei Enterprise Risk Services (ERS) din cadrul Deloitte România. “Din experienţă putem spune că firmele mari (adesea, multinaţionale) sunt mult mai deschise către aceste aspecte, în parte pentru că existenţa acestei funcţii se impune prin politica grupului”, a adăugat acesta. Deşi, în general, ofiţerul pentru securitatea informaţiei a ieşit din biroul său şi a devenit mai influent, abordarea companiilor în acest domeniu nu se ridică încă la nivelul riscurilor şi ameninţărilor existente şi, în plus, bugetele alocate securităţii sunt limitate. în general, nici echipele IT, nici organizaţiile în sine nu sunt perfect conştiente de numărul şi gravitatea incidentelor înregistrate, ele neputând astfel justifica investiţiile sau creşterea bugetelor pentru managementul securităţii informaţiei.
“Complexitatea problemelor de securitate sporeşte, astfel încât până şi metodele tradiţionale considerate în trecut ca fiind cele mai sigure sunt puse acum sub semnul întrebării”, potrivit lui Cătălin Ţigănilă, senior manager ERS, care aduce în discuţie un studiu recent lansat de Deloitte, conform căruia atât analiştii, cât şi directorii din companii mari din domeniile tehnologie, media şi telecomunicaţii consideră că peste 90% dintre parolele create de utilizator – chiar şi cele considerate ca fiind foarte bune – sunt vulnerabile atacurilor de tip hacking şi pot fi sparte în câteva secunde sau minute. Devin necesare elemente suplimentare de identificare, cum ar fi dispozitivele digitale de autentificare prin generare de coduri ( ex. “token”, “digi pass”, etc.), solicitarea de parole adiţionale trimise prin SMS pe telefonul utilizatorului, utilizarea de amprente sau alte elemente de biometrie sau smart card-uri.
Divizia Serviciilor de Risc din cadrul Deloitte (Enterprise Risk Services) oferă clienţilor servicii de management al riscurilor şi îi ajută să înţeleagă riscurile specifice fiecărui domeniu, să determine nivelele acceptabile de expunere, să implementeze sisteme de control şi monitorizare permanentă. Echipa din România, cu peste 20 de consultanţi, furnizează servicii de atestare şi certificare a sistemelor IT, evaluarea controalelor generale IT, risc şi conformitate contractuală, managementul riscului sistemelor IT, servicii de consultanţă şi audit pentru sistemele de management al securităţii informaţiilor (SMSI), evaluarea vulnerabilităţilor tehnice şi teste de penetrare şi inginerie socială. Clienţii diviziei numără companii de top din industrii importante, precum şi entităţi din administraţia publică.
Potrivit celui mai recent studiu lansat de Deloitte Touche Tohmatsu Limited (DTTL) – TMT Global Security Study, directorii celor mai mari companii de profil din lume au trecut de la etapa de conformitate cu reglementările şi legislaţia în vigoare la cea a implementării unei strategii şi a unui plan de securitate în 2013 ca principala măsură de îmbunătăţire a securităţii informaţiilor. Tot mai multe organizaţii înţeleg că securitatea informaţiei reprezintă un aspect fundamental în afaceri, iar atenţia lor se îndreaptă nu doar spre conceptul de securitate, ci şi spre robusteţea şi stabilitatea în mediul virtual (cyber resilience).
Rezultatele studiului derulat în cadrul a 121 de companii din 37 de ţări printre care şi România indică o atitudine foarte optimistă în ceea ce priveşte protecţia faţă de ameninţările externe – 88% dintre directorii intervievaţi considerând că firmele lor nu sunt vulnerabile. Cu toate acestea, la o analiză mai atentă, peste jumătate dintre ei recunosc că s-au confruntat cu atacuri cibernetice în cursul anului anterior. În plus, mai puţin de jumătate dintre respondenţi au implementat un plan de reacţie în cazul unei breşe de securitate şi numai 30% dintre ei consideră că partenerii externi îşi asumă suficient de multă responsabilitate în ceea ce priveşte securitatea. Totodată, 74% dintre cei 121 de respondenţi au identificat breşele de securitate înregistrate de terţi ca fiind în topul ameninţărilor; pe locurile următoare se situează atacuri de tipul denial of service (menite să supra-solicite destinatarii, ducând la blocarea/ refuzul serviciilor) şi eroarea sau omisiunile angajaţilor.
“Nu există organizaţie protejată în proporţie de 100%”, subliniază Andrei Ionescu, director ERS Deloitte România. “Fiecare companie trebuie să aibă metode clare de identificare şi reacţie în astfel de cazuri. Organizaţiile nu trebuie să lucreze doar cu partenerii lor de afaceri pentru a înţelege şi îmbunătăţi politicile de securitate; ele trebuie să implice factorii de legiferare, autorităţile de reglementare şi agenţiile de resort, să fie dispuse să împărtăşească informaţii sensibile pentru a răspunde la provocarea globală privind riscul cibernetic”.