Bezpieczeństwo IT a sektor MSP

Przeczytaj także: Sektor MSP niedostatecznie dba o bezpieczeństwo IT

Spośród 2000 respondentów globalnego badania przeprowadzonego na zlecenie Sophos, 58 proc. potwierdziła, że zarząd nie postrzega cyberataków jako znaczącego ryzyka ich działalności. Z badania zleconego przez Sophos wynika, że wyższa pozycja osoby decyzyjnej w firmie wiąże się często z większą niepewnością co do oceny potencjalnych zagrożeń w sieci.

Skala zagrożeń cyberterrotystycznych rośnie każdego dnia – komentuje Gerhard Eschelbeck, Dyrektor Technologiczny Sophos. – badania ukazują, że małe i średnie firmy nie potrafią ocenić potencjalnych zagrożeń oraz możliwych strat wynikających z prowadzenie niewłaściwej polityki bezpieczeństwa IT – dodaje.

Główne wyzwania bezpieczeństwa IT dla sektora MSP:

• brak priorytetowego traktowania bezpieczeństwa IT (44 proc.)
• niedostateczny budżet (42 proc.)
• brak wiedzy (33 proc.)

W wielu małych i średnich firmach nie ma jasnego określenia osoby odpowiedzialnej za cyberbezpieczeństwo, co często oznacza, że ta kompetencja przypisana jest do prezesa.

Obecnie w sektorze MSP, prezes jest często odpowiedzialny za zarządzanie wieloma coraz bardziej skomplikowanymi zadaniami w ramach działalności firmy – komentuje Eschelbeck. – W sytuacji gdzie pracownicy mają dostęp do wielu wrażliwych informacji, aplikacji czy dokumentów z różnego rodzaju urządzeń mobilnych, zarządzający nie są w stanie koordynować wszystkiego na własną rekę – dodaje Eschelbeck.

Badanie ukazuje również, że małe i średnie firmy nie identyfikują zagrożeń związanych z trendem BYOD (Bring Your Own Device), a także z chmurą obliczeniową. Jednak aż 77 proc. respondentów, przyznało że korzystanie usług w chmurze w przyszłym roku wzrośnie, bądź pozostanie na takim samym poziomie. Przy czym jedna czwarta z badanych nie wie czy takie usługi wiążą się z zagrożeniami cybernetycznymi. Podobnie 69 proc. przedstawicieli badanych firm, uważa że mobilny dostęp do aplikacji wykorzystywanych w biznesie wzrośnie znacząco w przyszłym roku, pomimo świadomości kadry zarządzającej, że może wpłynąć to negatywnie na zachowanie odpowiedniej polityki bezpieczeństwa.

Najważniejsze wnioski z badania:

• 58 proc. respondentów twierdzi, że zarząd nie postrzega cyberataków jako realnego zagrożenia dla firmy.
• 1/3 respondentów przyznaje, że nie ma pewności czy w przeciągu ostatnich 12 miesięcy ich organizacja doświadczyła cyberataku.
• Grupa badanych zajmująca w organizacji wyższe stanowiska ma najwięcej wątpliwości co do zagrożeń cyfrowych, które spotkać mogą ich firmę.
• Kierownictwo wyższego szczebla rzadko angażuje się w podejmowanie decyzji dotyczących priorytetów bezpieczeństwa IT. 32 proc. z nich twierdzi, że prezes zajmuje się daną kwestią, zaś 31 proc. uważa, że nie ma firmie osoby delegowanej do funkcji powiązanej z tym zagadnieniem.
• 44 proc. respondentów twierdzi, że kwestie bezpieczeństwa IT nie są w ich firmie traktowane priorytetowo. Dowodem jest fakt, że 42 proc. z nich twierdzi, że budżet firmy nie jest wystarczający do osiągnięcia skutecznego stanu zabezpieczeń.
• Urządzenia mobilne i trend BYOD są postrzegane jako znaczące zagrożenie dla bezpieczeństwa, jednak obawy te nie ograniczają szerokiego stosowania urządzeń prywatnych w miejscu pracy.
• Strategia bezpieczeństwa IT firmy i zagrożenia z którymi się styka zależą od branży:
  - Respondenci z sektora finansowego mają większe zaufanie do kwestii IT, wiąże się to z licznymi przepisami dotyczącymi ochrony danych.
  - Branża technologiczna jest najbardziej świadoma kwestii bezpieczeństwa IT.
  - Respondenci reprezentujący retail, edukację, branżę rozrywkową są najbardziej nieświadomi zagrożeń IT, a także polityki security IT, która prowadzi ich organizacja.

Rekomendacje:

• Organizacje powinny stale monitorować najnowsze trendy bezpieczeństwa IT i reagować na bieżące zagrożenia.
• Stworzenie księgi dobrych praktyk w kontekście używania urządzeń mobilnych w miejscu pracy.
• Firmy powinny szukać sposobów na wypełnienie luk powstałych na skutek niedoborów specjalistów bezpieczeństwa IT.
• Mierzenie kosztów cyberataków w tym także spadków wydajności, spowodowanych przestojami.