"Biztonsági paradoxon" a világ legnagyobb pénzintézeteinél
A felmérésből az is kiderül, hogy a külső behatolások alapvető indítéka még mindig az "emberi tényezőben" - a társaság alkalmazottai, ügyfelei, harmadik felek és üzleti partnerek terén - keresendő.
„Az idei felmérés ellentmondásos eredményei felhívják a figyelmet a pénzintézeteknél tapasztalható biztonsági paradoxonra” – mondja Szendrey Attila, a magyarországi Deloitte Vállalati kockázatkezelési szolgáltatások üzletágának szenior menedzsere. "Egyértelmű, hogy a pénzintézetek felismerték a fontosabb biztonsági problémákat, valamint a biztonsági és titoktartási eljárásaik fejlesztésének érdekében teendő szükséges lépéseket. Több pénzintézet azonban még mindig késlekedik az intézkedések megvalósítása terén."
A szervezetek számára a támadások során az egyik legaggasztóbb láncszem az ügyfél. A DTT felmérése szerint a három legjelentősebb (leggyakrabban említett) támadás a vírus, a féreg, az e-mailben történő támadás, pl. spam, valamint a "phishing" (adathalászat/pharming/eltérítéses adathalászat). E támadások mindegyikét ügyfeleken keresztül követik el, pl. az ügyfél akaratlanul bizalmas információt nyújt, vagy felfedi a pénzintézethez vezető csatornát. Ám annak ellenére, hogy a pénzintézeteket közvetlenül érintik az ilyen jellegű támadások, továbbra sem állnak készen arra, hogy ügyfeleik számítógépei biztonságának érdekében lépéseket tegyenek - valószínűleg a feladat nagysága miatt. Arra a kérdésre, miszerint felelősséget kellene-e vállalniuk azon ügyfeleik számítógépeinek védelméért, akik online ügyleteket bonyolítanak velük, a válaszadók kétharmada (66%) nemmel válaszolt.
Az ügyfeleken keresztül elkövetett támadásokon kívül a DTT felmérése nagyszámú olyan visszatérő esetet is felfedett, amelyek az alkalmazottakhoz köthetők: visszaélésből (szándékos tett) illetve hibákból, mulasztásokból (nem szándékos tett) eredően. A válaszadók túlnyomó többsége lehetséges veszélyforrást lát a munkatársakban (91%), és az emberi tényezőt az információbiztonsági hibák fő okának tartja (79%).
Hiába ítélik azonban fontos biztonsági veszélyforrásnak a munkatársak hibáit és mulasztásait, a válaszadók közel negyede (22%) nem nyújtott biztonsággal kapcsolatos képzést az alkalmazottak számára az elmúlt évben, és csak harmaduk (30%) állítja, hogy munkatársaik eléggé képzettek, és a biztonsági igényeknek megfelelő készségekkel rendelkeznek.
„E hiányosságok ellenére a probléma felismerése már fél siker, így a pénzintézetek kétségtelenül jó irányban haladnak a hiányosságok pótlása terén” - teszi hozzá Szendrey Attila. Ebben az évben a biztonsággal kapcsolatos képzések és tájékoztatás, az alkalmazottak, ügyfelek és szállítók jogosultságának és azonosíthatóságának kezelése valamint az adatvédelem tartozik a cégek legfontosabb tennivalói közé a folyamatosan változó "támadás-ipar" elleni küzdelemben.
A felmérés további fontos megállapításai:
- Az e-mailben történt támadások vezetik a pénzintézeteket az utóbbi egy évben érintő külső támadások listáját (65%).
- A válaszadók kétharmada (66%) nem gondolja, hogy az ő feladata lenne az internetes banki szolgáltatásokat igénybevevő ügyfelek számítógépének védelme.
- Gyakorlatilag az összes válaszadó (99%) növekvő biztonsági költségvetésről számol be, de 35%-uk szerint információbiztonsági beruházásaik elmaradnak a szükségestől.
- Az információbiztonsági projektek kudarcának leggyakoribb okaként a megváltozott prioritásokat és az integrációs problémákat említik.
Régiók szerinti bontás
Európa, Közép-Kelet és Afrika (EMEA): Az összes közül az EMEA régióban a legmagasabb azon válaszadók aránya (39%), akik úgy érzik, rendelkeznek azokkal a képességekkel és kompetenciákkal, amelyek ahhoz szükségesek, hogy hatékonyan tudjanak reagálni a jelenlegi és a várható biztonsági követelményekre. Emellett a résztvevők nagy része (82%-a) véli úgy, hogy a biztonság kérdése már a legfelső vezetés szintjére emelkedett, míg több mint háromnegyedük (77%) gondolja úgy, hogy rendelkezik az előírásoknak való megfelelés biztosításához szükséges elkötelezettséggel és tőkével. Ami pedig a biztonsági incidenseket illeti, az EMEA-n belüli azon cégek százalékos aránya, amelyeknél történt már belső (31%) vagy külső (71%) biztonsági incidens, meghaladja az erre vonatkozó globális átlagokat (rendre 30% és 65%).
Független Államok Közössége - a volt szovjet tagköztársaságok (FÁK): Az új régió, amely csak 2007-ben került be a felmérés körébe, és amely 11 korábbi szovjet tagköztársaságból áll, megosztott első helyet szerzett Japán mellett a "cégünk rendelkezik biztonsági stratégiával" kérdésre adott pozitív válaszok aránya tekintetében (75%), ugyanakkor 67%-os eredményével kissé elmarad a 73%-os globális átlagtól a biztonsági szabályok betartásához szükséges kötelezettségvállalások és finanszírozás területén. Az elmúlt 12 hónapban tapasztalt ismételt támadásokra vonatkozó kérdésre 38% nyilatkozta, hogy ismételt belső támadások érték, míg 63% tapasztalt ismételt külső támadásokat.
Ázsia és a csendes-óceáni térség, Japán nélkül (APAC): Az APAC régió válaszadóinak több mint háromnegyede (78%-a) állította, hogy a biztonság kérdése már a legfelső vezetés szintjére emelkedett, mint a gazdálkodás egyik kritikus területe. A pénzintézetek közel ugyanilyen arányban (62%) jelentették ki, hogy alkalmaznak valamilyen biztonsági stratégiát; 77%-uk gondolja úgy, hogy rendelkeznek azzal az elhivatottsággal és tőkével, ami a szabályozási követelményeknek való megfeleléshez szükséges. Ugyanakkor viszont az összes régió közül a legkevesebb válaszadó, a résztvevők csupán 7 %-a vélte úgy, hogy rendelkeznek azokkal a képességekkel és kompetenciákkal, amelyek ahhoz szükségesek, hogy hatékonyan meg tudjanak felelni a már érvényben lévő és a várható biztonsági követelményeknek.
Japán: Bár Japán idén elvesztette vezető helyét számos kulcsfontosságú titoktartási és adatbiztonsági kategóriát tekintve, négy területen azonban még mindig világelsőnek számít: a térség: biztonsági stratégia megléte (a válaszadók 75%-a); a titoktartásért felelős ügyvezető megléte (100%); valamint a külső (35%) és belső (13%) biztonsági incidensek legkisebb előfordulási aránya területén. A felmérés szerint azonban a japán pénzintézetek elmaradnak a világ többi hasonló intézményeitől, ha azt nézzük, hogy a biztonsági kérdések mennyire vannak beépítve az IT alkalmazottak teljesítményértékelésébe (40% az 50%-os globális értékkel szemben), illetve, hogy a felső vezetők és az igazgatósági tagok mennyire tekintenek úgy a biztonságra, mint a gazdálkodás egyik kritikus területére (a válaszadók 71%-a).
Egyesült Államok: Az Egyesült Államok a legtöbb régió előtt jár a biztonsági kérdések többségét tekintve, például az alábbiakban: azon válaszadók száma, akik szerint a biztonság elsőrendű fontosságú a legfelső vezetők és az ügyvezetők körében, mint a gazdálkodás egyik kritikus területe (89%); a szabályozási előírásoknak való megfeleléshez szükséges szervezeti elkötelezettség és tőke (80%); a biztonsági kérdések beépítése az IT alkalmazottak teljesítményértékelésébe (70%); valamint hogy tartottak-e az alkalmazottak számára legalább egy, biztonsággal és tudatossággal kapcsolatos képzést az elmúlt év során (95%).
Kanada: Kanada az egyik világelső a titoktartás biztosítása terén: a válaszadók túlnyomó többsége (91%-a) állította, hogy cégénél van olyan ügyvezető, aki a titoktartásért felel, míg 80%-uknál érvényben van valamilyen, az adatbiztonsági előírások betartását ellenőrző program. Kanada olyan tekintetben azonban elmarad a világ többi régiójától, hogy ott a legkisebb azon válaszadók aránya, akik úgy érzik, rendelkeznek azzal az elhivatottsággal és tőkével, ami a szabályozási követelményeknek való megfeleléshez szükséges (50%). Ebben a régióban a legalacsonyabb azoknak a pénzintézeteknek a száma is, amelyek rendelkeznek biztonsági stratégiával (27%), miközben a válaszadók egyike sem érezte úgy, hogy szervezetük információbiztonsági stratégiáját felkarolnák, és magukénak éreznék az üzletági és funkcionális vezetők.
Latin-Amerika és a karib-tengeri térség (LACRO): Az elmúlt két évhez hasonlóan a LACRO régióban működő pénzintézetek, úgy tűnik, nem aggódnak különösebben a titoktartási ügyek miatt; ezt bizonyítja, hogy ebben a térségben volt a legalacsonyabb azon válaszadók aránya, akiknél érvényben van valamilyen, az adatbiztonsági előírások betartását ellenőrző program (31%), vagy rendelkeznek olyan ügyvezetővel, aki a titoktartásért felelős (30%). A térség utolsó helyen kullog abban a tekintetben is, hogy a vállalatok tartottak-e alkalmazottaik számára biztonsággal és tudatossággal kapcsolatos képzést az elmúlt év során (61%). A pozitívumok között meg kell említeni, hogy ebben a régióban a legmagasabb azon pénzintézetek aránya, amelyek rendelkeznek valamilyen biztonsági stratégiával (68%), míg a résztvevők túlnyomó többsége (88%) úgy véli, hogy a biztonság a felsővezetés szintjére emelkedett, mint a gazdálkodás egyik kritikus területe.
Kapcsolódó cikkek
- A jövő év tíz legfenyegetőbb biztonsági kockázata
- Védelem az e-bankinghez
- 11 magyar cég a Fast 50 verseny nyertesei között
- Symantec Spam Report: 2007. október
- Kevesebb a fertőzött e-mail, nő a vírusos weboldalak száma
- Internet: A gyermekek túljárnak a szülők eszén
- Kimentek a divatból a vírusok?
- A szervezetek nem tudják szavatolni a személyes adatok biztonságát
- Fokozottan veszélyeztetett a hazai KKV-k informatikai rendszere
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
Megoldás ROVAT TOVÁBBI HÍREI
3 árulkodó jel, hogy a cég IT csapata már nem versenyképes
Szinte követhetetlen tempóban fejlődnek a vállalati szolgáltatásokat támogató IT-rendszerek, a cégek pedig komoly piaci hátrányba kerülhetnek, ha nem tartanak lépést a változással. Az ügyfelek és a munkatársak igényei egyre csak nőnek, a versenytársak szolgáltatásai pedig rövid idő alatt gyorsabbá, kényelmesebbé, átláthatóbbá válhatnak a miénknél.
Rákapcsolt az Euronics: már aznap megérkezhet a grill vagy a hűtő
Egyre népszerűbb a vásárlók körében az aznapi kiszállítással vagy áruházi átvétellel történő rendelés az Euronicsnél. A megrendelés napjára házhoz szállítást ígérő szolgáltatás tavaly nyáron indult, idén pedig még szélesebb időablakkal lehet már rendelni Budapesten belül. Az online leadott rendeléseket pedig az áruházakban is át lehet venni akár még aznap, ez a szolgáltatás már országszerte elérhető ingyenesen. Az ilyen módon rendelt termékek toplistáján ott vannak a ventilátorok, a kávék, a mosószerek, és az állateledelek, de rendeltek már asztali grillt is így.
Elérhetővé válik az automatikus munkabérelőleg
Automatikus Munkabérelőleg Rendszer (AMBER) néven biztosít új szolgáltatást a MagNet Faktor a Kulcs-Soft-tal partnerségben. Az új megoldás segítségével a bérszámfejtő szoftvert használó cégek alkalmazottai gyorsan és egyszerűen juthatnak a már ledolgozott munkanapok után járó fizetésükhöz. A munkavállalók mellett a vállalkozásoknak is kedvező ez a lehetőség: az adminisztratív terheik csökkennek, a bérfizetés pedig rugalmassá válik.