Cele mai mari institutii financiare din lume se confrunta cu adevarate probleme in materie de securitate. Studiile arata, inca o data - daca mai era nevoie, ca omul de langa noi este de fapt principala problema, sau mai pe romaneste, ne furam (inca!) singuri caciula. Conform celui mai recent studiu Deloitte, problemele privind securitatea informatiei continua sa atraga atentia Directorilor Executivi, cu toate acestea rezolvarea problemelor este lasata in seama departamentelor IT.
Mai putin de doua treimi din participantii la studiul Deloitte “Securitatea la Nivel Global 2007” detin o strategie privind securitatea informatiei. Doar 10% dintre companiile participante la acest studiu au un Director de Securitate responsabil de gestionarea problemelor legate de securitatea informatiei. Rezultatele studiului releva urmatorul paradox: exista o discrepanta uriasa intre gradul de constientizare a problemelor de securitate si identificarea de solutii.
Printre altele, studiul arata ca principala cauza a fraudarilor externe continua sa fie „factorul uman” reprezentat de angajati ai companiei, clienti, terti si parteneri de afaceri.
“Rezultatele studiului atrag atentia asupra paradoxului cu care se confrunta institutiile financiare in ceea ce priveste securitatea” este de parere Gary Bauer, Forensics and Fraud Investigation Director pentru Deloitte Romania si Deloitte Cetral Europe. “Participantii la studiu au identificat problemele de securitate cu care trebuie sa se confrunte, precum si strategiile necesare in vederea imbunatatirii gradului de securitate si confidentialitate. Cu toate acestea numeroase institutii financiare nu reusesc sa faca fata problemelor.”
In ceea ce priveste fraudarile, clientii reprezinta cel mai mare motiv de ingrijorare pentru companii. Studiul Deloitte arata ca principalele trei tehnici de fraudare (cele care au fost enuntate de majoritatea participantilor la studiu) sunt virusii si derivatele acestora (worms, trojans), atacurile prin e-mail, de ex. spam-uri; si atacurile de phishing/ pharming. Toate aceste fraudari sunt realizate prin intermediul clientilor, de ex. clientii ca si sursa indirecta de informatie confidentiala si mijloace de propagare a datelor in cadrul institutiilor financiare. Desi institutiile financiare au de suferit in mod direct de pe urma fraudarilor, reprezentantii acestora sunt destul de reticenti in ceea ce priveste securitizarea computerelor clientilor, cel mai probabil datorita implicatiilor unui astfel de proces.
La intrebarea: “Considerati ca trebuie sa va asumati responsabilitatea in ceea ce priveste securitizarea computerelor clientilor care fac afaceri on-line cu dvs.?”, doua treimi din subiecti (66%) au raspuns negativ.
Pe langa fraudarile realizate prin intermediul clientilor, companiile se confrunta cu numeroase cazuri de fraudari realizate de catre angajati: greseli (actiuni voluntare) si omiteri (actiuni involuntare). 91% din participantii la studiu acorda o atentie deosebita activitatilor desfasurate de catre angajati si numesc factorul uman ca fiind cauza principala a esecurilor in materie de securitate a informatiei (79%).
Desi greselile si omisiunile facute de angajati sunt considerate a fi principalii factori care ameninta securitatea informatiei, aproape un sfert (22%) din participantii la studiu nu au oferit angajatilor training-uri de securitate. 30% din directorii participanti la studiu sunt de parere ca angajatii pot face fata cu brio problemelor de securitate.
“In ciuda acestor discrepante, identificarea problemelor este o etapa extrem de importanta parcursa de catre institutiile financiare in vederea reducerii acestor diferente”, a declarat Radu Herinean, Enterprise Risk Services Manager la Deloitte Romania. “Constientizarea problemelor, organizarea de training-uri de securitate, managementul angajatilor, clientilor si furnizorilor, protejarea informatiilor reprezinta principalele actiuni intreprinse anul acesta de catre companii, pentru a combate amenintarile aduse la adresa securitatii informatiilor.
Alte rezultate ale studiului:
Atacurile prin e-mail reprezinta principala metoda de fraudare externa cu care s-au confruntat institutiile financiare in ultimul an (57%)Doua treimi din participantii la studiu (66%) sunt de parere ca protejarea computerelor clientilor care desfasoara tranzactii on-line nu trebuie sa faca parte din responsabilitatile acestora. Teoretic, toti participantii la studiu (98%) indica o crestere a bugetelor alocate securitatii, insa 35% dintre acestia sunt de parere ca investitiile in securitatea informatiei nu acopera in intregime domeniul de activitate. “Schimbarea prioritatilor” si “problemele de integrare” sunt principalele cauze de esec a proiectelor privind securitatea informatiei (48%, respectiv 32%).
Rezultatele pe regiuni
Europa, Orientul Mijlociu si Africa (EMEA): 39% din participantii la studiu considera ca au capacitatea si resursele necesare pentru a face fata in mod eficient provocarilor prezente si viitoare privind securitatea. Majoritatea participantilor (82%) arata ca securitatea reprezinta un subiect prioritar pe agenda Consiliilor Directoare, 77% dintre acestia fiind de parere ca detin motivatia si resursele financiare necesare pentru a fi in conformitate cu cerintele de reglementare.
In ceea ce priveste fraudarile, numarul institutiilor din Europa, Orientul Mijlociu si Africa care s-au confruntat cu fraudari interne (31%) si externe (71%), depaseste media globala de 30%, respectiv 65%.
Comunitatea Statelor Independente (CSI): este alcatuita din 11 Republici, foste Sovietice si participa pentru prima data la acest studiu, fiind regiunea care s-a confruntat cu cele mai multe cazuri de fraudare externa. 63% din participantii la studiu s-au confruntat cu atacuri externe (in comparatie cu 65%, atacuri externe raportate la nivel global).
CSI este a doua regiune dupa Japonia care a inregistrat cel mai scazut procent de fraudari interne in ultimele 12 luni (38%). Alaturi de Japonia, CSI se situeaza pe primul loc in topul companiilor care detin o strategie de securitate (75%).
Asia Pacific exceptand Japonia (APAC): peste trei sferturi dintre subiectii participanti la studiu (78%) au declarat ca securitatea reprezinta un punct extrem de important pe agenda Consiliilor Directoare. 62% din Institutiile Financiare au o strategie de securitate, motivatia si resursele financiare necesare pentru a fi in conformitate cu cerintele de reglementare. Doar 7% dintre participantii la studiu sunt de parere ca au capacitatea si resursele necesare pentru a face fata provocarilor prezente si viitoare in materie de securitate.
Japonia: desi, in cazul Japoniei, anul acesta, managementul nu este implicat in problemele de securitate si confidentialitate, companiile din Japonia sunt pe primul loc in urmatoarele patru aspecte legate de securitate: lipsa unei strategii de securitate (75%), lipsa unui director responsabil cu securitatea (100%), cel mai scazut nivel de fraudari externe (35%) si interne (13%). Conform studiului, Institutiile Financiare din Japonia sunt surclasate de catre Institutiile Financiare din intreaga lume in ceea ce priveste acordarea de prime angajatilor IT pentru rezolvarea problemelor legate de securitate (40% comparat cu 50% la nivel global). Companiile din Japonia nu stau mai bine nici la capitolul: constientizarea importantei securitatii la nivel managerial (71%).
Statele Unite: ocupa primul loc in randul celorlalte regiuni in ceea ce priveste probelemele de securitate astfel:
numarul respondentilor care au aratat ca securitatea reprezinta un punct extrem de important pe agenda Consiliilor Directoare (89%),
motivatia si resursele financiare necesare pentru a fi in conformitate cu cerintele de reglementare (80%),
acordarea de prime angajatilor IT pentru rezolvarea problemelor legate de securitate (70%),
organizarea in ultimul an a cel putin unui training de securitate (95%).
Conform datelor furnizate de catre participantii la studiu, SUA are cel mai mare numar de Institutii Financiare care s-au confruntat in ultimul an cu cel putin un caz de fraudare interna,.
Canada: este printre primele regiuni din lume care gestioneaza cel mai bine problemele legate de securitate si confidentialitate. 91% din participantii la studiu au declarat ca Institutiile pe care le conduc au un Director de Securitate iar 80% detin un program care le permite o buna gestionare a problemelor legate de confidentialitate. Canada se afla pe ultimul loc in ceea ce priveste gradul de motivatie si alocarea de resurse financiare necesare pentru a fi in conformitate cu cerintele de reglementare (50%). Regiunea ocupa de asemenea ultimul loc in topul Institutiilor Financiare care detin o strategie de securitate (27%).
America Latina si Caraibe (LACRO): ca si in ultimii doi ani, Institutiile Financiare din America Latina si Caraibe nu se arata prea preocupate de aspectele legate de securitate. Acest lucru este demonstrat de altfel si de procentul scazut de respondenti care detin un program de gestionare a problemelor legate de confidentialitate (31%) si care au un Director de Securitate (30%). Regiunea se afla la coada clasamentului si in ceea ce priveste organizarea de traininguri de securitate pentru angajati (61%).
Pe de alta parte, regiunea detine unul dintre cele mai ridicate procente in ceea ce priveste numarul Institutiilor Financiare care detin o strategie de securitate (68%). Majoritatea participantilor la studiu ( 88%) sunt de parere ca securitatea in afaceri reprezinta un punct important pe agenda Consiliilor Directoare.
Metodologie
Studiul are la baza interviuri si chestionare la care au participat Directori ai Institutiilor Financiare din Top 100 companii furnizoare de servicii financiare. Intrebarile au acoperit urmatoarele aspecte: managementul, investitiile in securitate, riscul, utilizarea tehnologiilor de securitate, calitatea operatiunilor si confidentialitatea. La studiu au participat companii de stat si private din toate continentele grupate pe 5 regiuni: Europa, Orientul Mijlociu si Africa (EMEA), Comunitatea Statelor Independente (CSI), Asia Pacific (APAC), America de Nord (NA), America Latina si Caraibe (LACRO). Datorita obiectivelor diverse luate in considerare de catre institutiile participante la studiu, precum si a formatului calitativ al studiului, este posibil ca unele rezultate sa nu fie reprezentative pentru regiunile identificate.
Web Design by Dow Media | Gazduire Web by SpeedHost.ro