Každý stratený údaj stojí firmu 141 dolárov

Každý stratený alebo ukradnutý citlivý alebo dôverný údaj stojí firmy v priemere 141 dolárov. Vyplýva to z celosvetovej štúdie Ponemom Institute v spolupráci s IBM Security. Správne nastavená informačná bezpečnosť je pre spoločnosti nevyhnutnosťou a môže znížiť škody. Riešením je zavedenie medzinárodných štandardov na ochranu informácií, odporúčajú audítori z TÜV SÜD Slovakia.

IBM Security a Ponemom Institute do tohtoročnej štúdie „Cost of Data Breach“ zapojili vyše 1900 zainteresovaných ľudí z 419 firiem v 13 krajinách alebo regionálnych celkoch. Zistili, že oproti vlaňajšku sa priemerná škoda za jeden ukradnutý alebo stratený citlivý údaj znížila zo 158 USD na 141 USD. Avšak počet únikov sa zvýšil o 1,8 %. Podľa tohtoročnej štúdie zároveň stúpla pravdepodobnosť, že spoločnosti budú v najbližších 24 mesiacoch vystavené únikom dát na 27,7 %, kým vlani odhadli túto pravdepodobnosť na 25,6 %.

„Je to pochopiteľné, keďže vo firmách exponenciálne narastá objem poskytnutých a spracovaných informácií a taktiež aplikácií na prácu s nimi,“ komentuje expert na informačnú bezpečnosť TÜV SÜD Slovakia Pavel Horník.

 

*Stredný východ zahŕňa Spojené arabské emiráty a Saudskú Arábiu

**ASEAN región zahŕňa Singapúr, Indonéziu, Filipíny a Malajziu

 

Spoločnosti, ktoré sa zapojili do štúdie uviedli, že takmer polovicu incidentov (47 %) spôsobili zámerné hackerské útoky. Štvrtinu únikov dát mali na svedomí nedbanliví zamestnanci alebo dodávatelia (ľudská chyba) a 28 % narušení bolo spôsobených systémovými chybami v oblasti nastavenia IT či procesov.

Podľa Horníka je dôležité si uvedomiť, že zamestnanci často pracujú s údajmi, ktoré podliehajú zákonnej ochrane či obsahujú firemné know-how. „Nejde pritom o zodpovednosť len radových zamestnancov, ale komplexne celej organizácie vrátane vedenia,“ upozorňuje Pavel Horník. Pripomína, že nové európske nariadenie o ochrane osobných údajov (GDPR), ktoré vstúpi do platnosti na budúci rok v máji bude klásť ešte prísnejšie nároky na bezpečnosť osobných údajov vo firmách.

Čím skôr spoločnosť príde na narušenie bezpečnosti, tým menej ju to stojí. Spoločnostiam zapojeným do štúdie trvalo v priemere vyše šesť mesiacov, kým na únik dát prišli. Oproti vlaňajšku sa tento čas skrátil. Zo skúseností TÜV SÜD Slovakia vyplýva, že mnohé firmy na Slovensku podceňujú informačnú bezpečnosť. „Podceňujú hodnotu informácií, uplatňujú krátkodobé reaktívne riešenia bez analýzy príčin, zavádzajú nedostatočné a nesystémové riešenia alebo informačnú bezpečnosť zveria neškoleným pracovníkom,“ vymenúva niektoré príčiny problémov Pavel Horník.

 

Ako zlepšiť bezpečnosť informácií vo firme

Jedným z efektívnych riešení je mať vo firme správne zavedený systém manažérstva. Zavedenie štandardov je celosvetovým trendom v riadení informačnej bezpečnosti. Uznávanou normou pre túto oblasť je ISO/IEC 27001, ktorú firmy a verejný sektor využívajú čoraz častejšie. Práve zaužívanie pravidiel môže pomôcť organizácii spravovať a chrániť všetky cenné informačné aktíva. „Podľa prieskumu magazínu Computer Weekly takmer 90 % spoločností, ktoré implementovali princípy ISO/IEC 27001 do svojich procesov, uviedlo, že formálna certifikácia zlepšila zachovanie kontinuity ich prevádzky, 85 % uviedlo, že sa minimalizovali škody z bezpečnostných udalostí a 53 % uviedlo, že zavedenie normy prispelo k vyššej návratnosti investícií, argumentuje Pavel Horník.

 

Prínosy zavedenia a certifikácie podľa normy ISO/IEC 27001:

  • prostredníctvom systematického prístupu zabezpečuje kontinuitu podnikania a minimalizuje straty z podnikateľskej činnosti,
  • zlepšuje porozumenie obchodných aspektov, dáva istotu, že investície do bezpečnosti informácií boli nasmerované efektívne,
  • nezávisle potvrdzuje, že organizačné riziká sú náležite identifikované prostredníctvom posudzovania obchodných rizík,
  • pravidelné hodnotenie procesov pomáha zvýšiť účinnosť podnikania, zlepšuje poistenie zodpovednosti a neustále sleduje výkon,
  • najviac zo všetkého prináša dôvernosť, motivuje vedenie a tiež tým môže podporiť vnímanie bezpečnosti a ochrany zverených informácií a citlivých údajov zákazníkmi.