Internet Business - PC Magazine Romania, August  2002

Vorba multă, sărăcia ... bugetului

Dan Şerbănescu

Poate părea un paradox, însă, în pofida perpetuării unei situaţii de incertitudine economică, dublată de noi atacuri cibernetice asupra sistemelor tot mai interconectate, dar şi de riscuri de genul atacurilor teroriste, bugetele TI şi în special cele alocate securităţii în cel mai bun caz stagnează, dacă nu continuă tendinţa de descreştere din ultima vreme. Cu toate astea, lumea vorbeşte mult despre securitate şi o îngrijorătoare proporţie din factorii de răspundere chestionaţi recent de Ernst & Young se simt într-o relativă siguranţă. Ei nu doar că nu duc mâna la portofel, dar nici nu-şi dau întotdeauna seama de ce ar trebui să o facă.

schemă: Încredere în posibilitatea detectării unui atac împotriva propriilor sisteme

În mediile de afaceri de astăzi, perspectivele asigurării securităţii sistemelor informatice nu par prea optimiste, relevă Studiul Global asupra Securităţii Informaţiei 2002, dat publicităţii recent de compania de audit Ernst & Young.

Numai 40% din companii cred că sunt capabile să detecteze un atac asupra sistemelor lor informatice, în vreme ce 40% din ele nici măcar nu investighează incidentele de acest gen. Funcţionarea sistemelor critice este din ce în ce mai fragmentată, peste 75% din companii trecând prin astfel de căderi, dar numai 53% dispunând şi de planuri de rezervă pentru asigurarea continuităţii afacerii. Doar 41% din firme sunt îngrijorate de atacurile interne asupra sistemelor, în pofida dovezilor de netăgăduit a preponderenţei acestora, şi mai puţin de jumătate au programe de training în materie de securitatea informaţiei, destinate propriilor angajaţi.

Asta înseamnă că organizaţiile trebuie să fie foarte atente la unele elemente cheie, precum posibilitatea ca personalul disponibilizat să lase în urmă stricăciuni, abuzul de încredere în doar câţiva indivizi, presiuni bugetare sporite ce creează vulnerabilităţi tot mai mari, decizii pe termen scurt în legătură cu reducerea costurilor, terţi furnizori de servicii care caută să-şi reducă cheltuielile pe seama clienţilor, posibilitatea producerii de fraude.

Una din provocările cele mai mari ale securităţii informaţiei o reprezintă viteza schimbării şi ameninţările din ce în ce mai sofisticate. Circa 60% din cei chestionaţi se aşteaptă la vulnerabilităţi financiare şi de imagine mai mari, pe măsură ce creşte gradul de interconectare a echipamentelor.

În proporţie de 66%, directorii chestionaţi au acuzat lipsa de informare a personalului, care reprezintă o barieră în calea obţinerii unui grad satisfăcător de securizare a informaţiei.

Securitatea: problema departamentelor TI sau a consiliilor de administraţie?

O strategie de securizare a informaţiei reprezintă un cadru pentru luarea deciziilor şi stabilirea priorităţilor unei companii. În proporţie de 74%, companiile sunt convinse că dispun de astfel de strategii, ceea ce, dacă este şi adevărat, reprezintă, în opinia Ernst & Young, un element încurajator. Totuşi, chestiunea esenţială nu este elaborarea unei strategii, ci alegerea celor mai potrivite căi de implementare.

Elementul principal al administrării securităţii este monitorizarea performanţelor. Dar monitorizarea depinde în mod esenţial de sistemele de măsurare şi evaluare, iar răspunsurile celor chestionaţi în legătură cu costurile sistemelor TI, în general, şi a celor de securitate, în special, relevă unele îngrijorări. Cheltuielile pentru securitate pot să apară ca un capitol distinct în bugete, însă unele componente ale sistemelor de securitate nu sunt monitorizate şi nici nu pot fi identificate în vreun buget, cum este cazul tipic al sistemelor de proiectare şi administrare a securităţii aplicaţiilor şi de detecţie a pătrunderilor neautorizate. Revenind la studiu, 73% din cei chestionaţi au fost de părere că structura bugetelor actuale acoperă nevoile pe termen scurt. În proporţie de 61%, proiectele TI globale ale companiilor trec printr-un proces de raţionalizare, dar partea de securitate pare să fie ferită oarecum de asta - doar 34% raţionalizează proiectele de securitate TI şi numai 7% plănuiesc o reducere a personalului serviciilor de securitate. 51% cred că partea de securitate, comparativ cu celelalte proiecte TI, reprezintă o prioritate, iar 35% îi acordă un grad egal de prioritate. Doar 13% se aşteaptă la reduceri de buget pentru securitatea TI, însă 41% au răspuns că nu ştiu dacă se preconizează aşa ceva în compania lor.

Un alt semnal de alarmă identificat de Ernst & Young se referă la planurile de continuitate a afacerilor. Chiar dacă 70% din companii intenţionează să extindă aceste planuri, ca şi pe cele de recuperare în caz de dezastru, numai 29% tratează asigurarea continuităţii afacerii ca pe o cheltuială de tip unitate de business separată, în vreme ce 45% o plasează în cadrul bugetului TI, ceea ce înseamnă, probabil, că multe companii percep continuitatea afacerii ca pe o responsabilitate a departamentelor TI şi nu a consiliilor de administraţie.

Multe companii dezvoltă planuri tehnice de asigurare a securităţii. Aceste planuri pot include politici, proceduri şi menţiuni privind anumite tehnologii folosite - cu alte cuvinte sunt focalizate pe specificaţiile tehnice. Dar pentru ca o strategie de securitate să funcţioneze optim, ea trebuie îmbrăţişată şi chiar determinată de cei ce au putere de decizie în toate compartimentele unei organizaţii şi trebuie să includă o analiză profundă a naturii precise a riscurilor în afacerea respectivă, în strânsă corelare cu "cultura de întreprindere" a respectivei organizaţii.

Probleme de implementare
schema: Acţiuni preconizate în mediul curent
Mai puţin de jumătate din companiile participante la studiu au un program de informare şi pregătire a angajaţilor în chestiuni de securitate a sistemelor TI şi doar o treime intenţionează să lanseze astfel de programe.

În viziunea Ernst & Young, trainingul reprezintă o componentă fundamentală a unei strategii de securitate eficiente, iar cei 66% care au văzut în lipsa acestuia o barieră în calea atingerii nivelului de securitate dorit nu fac decât să confirme părerea analiştilor. Cele mai multe activităţi par să aibă loc la nivelul "minimului necesar" în materie de securitate TI şi anume în zone precum procedurile de protecţie împotriva viruşilor, administrarea accesului şi administrarea firewall-ului. De asemenea, o altă concluzie a studiului a fost penuria de specialişti angajaţi ai companiilor (53% din cei chestionaţi au acuzat lipsa acestora).

Doar 40% din cei supuşi studiului au recunoscut că au fost ţinta unui atac asupra datelor (viruşi), reţelei interne sau provenit din internet. Numărul celor atacaţi este probabil mult mai mare, fiind cunoscut că multe organizaţii nu recunosc niciodată public că sunt vulnerabile la astfel de atacuri.

Cei mai mulţi (57%) se tem de un atac din exterior, mai degrabă decât din interior (41%), chiar dacă grupurile de analişti continuă să confirme că mai mult de trei sferturi din atacuri au loc din interior. Cealaltă mare temere (probabil indusă şi de mass-media) este cea de atacuri împotriva codului, prin viruşi sau "viermi"(59%).

Disponibilitatea sistemelor
Care sunt costurile operaţionale sau pierderile financiare generate de imposibilitatea accesării sistemelor de către 10.000 de angajaţi şi/sau clienţi sau parteneri de afaceri timp de - să spunem - patru ore? Marea majoritate a celor chestionaţi nu au fost în măsură să răspundă la o astfel de întrebare.

Întreruperi sau blocaje au fost înregistrate de trei sferturi din companiile studiate. Din acestea, 56% au fost de natură software, 49% au reprezentat căderi ale sistemelor de telecomunicaţii, iar un sfert au fost generate de erori de operare, capacităţi insuficiente de procesare sau căderi datorate terţilor parteneri de afaceri. Opinia unanimă a fost că impactul operaţional al acestor căderi a fost mai mare decât cel financiar sau cel de imagine. Planuri de continuitate a afacerii au doar circa 40% din companii, iar 21% nu le-au testat niciodată. În privinţa recuperării în caz de dezastru, 71% din cei chestionaţi au afirmat că au astfel de planuri, însă 16% nu le-au testat încă.

Faptul că principalele motive ale căderilor au fost de natură hardware, software sau de telecomunicaţii nu este, în sine, surprinzător. Îngrijorător este numărul mare de căderi raportate din cauze operaţionale. Există din abundenţă exemple de afaceri care, într-o formă sau alta, depind de sisteme TI şi nu au planuri testate de continuitate a afacerilor, deci foarte probabil nu vor supravieţui unui dezastru. În prezent, a devenit foarte greu de identificat o organizaţie care să nu depindă cumva de o componentă TI, motiv pentru care statisticile privind companii care nu şi-au făcut nici un fel de "plan B" sunt cu atât mai alarmante.

Încotro ne îndreptăm?
Două treimi din companiile studiate cred că riscurile cele mai mari provind din interconectarea din ce în ce mai acentuată a sistemelor, iar menţinerea securităţii şi a caracterului privat al informaţiilor frânează considerabil o conectivitate mai mare.
Principalele tehnologii folosite sunt aplicaţiile standard oferite de vendori şi standardele de securitate definite. În proporţie de 19%, companiile dezvoltă proiecte largi de implementare a infrastructurii de chei publice (Public Key Infrastructure - PKI), iar alte 26% vor lansa proiecte pilot în acest sens. Sistemele biometrice pentru controlul accesului sunt folosite de numai 5% din companii, iar alte 11% plănuiesc proiecte pilot în domeniu. Cât despre sistemele de autentificare, statisticile sunt surprinzător de sărace, faţă de interesul crescut din ultima vreme pentru astfel de tehnologii. Doar 36% din companii folosesc Intrusion Detection Systems (IDS), alte 24% pregătindu-se să implementeze şi ele această tehnologie.

Folosirea pe scară mai largă a acestor tehnologii este frânată de o serie de factori. Costurile sunt văzute de 38% din cei chestionaţi drept bariera majoră, chiar dacă lipsa competenţelor, neînţelegerea potenţialului tehnologiilor şi o serie de alte chestiuni tehnice sunt şi ele văzute drept piedici.

Reducerea interacţiunii cu partenerii de afaceri nu este o opţiune, consideră Ernst & Young. Conectivitatea sporită nu va dispărea şi reprezintă un factor de risc pe care companiile trebuie să îl menţină sub control. Se pare că există încă destulă rezistenţă faţă de noile tehnologii, cum ar fi sistemele biometrice de administrare a accesului, sistemele wireless sau sigiliile electronice. Companiile care nu vor reuşi să înţeleagă noile tehnologii ar putea pierde o imensă oportunitate de rezolvare a problemelor de securitate, avertizează Ernst & Young.

A sosit, deci, timpul ca oamenii de afaceri să înţeleagă, anticipeze şi administreze securitatea informaţiei şi disponibilitatea sistemelor ca pe elemente de maximă prioritate atât pentru supravieţuirea companiei, cât şi pentru obţinerea avantajului competitiv.