Barometr Cyberbezpieczeństwa. Na fali, czy w labiryncie regulacji?
Autor: KPMG
Data publikacji: 01/02/2024
Tematyka: Bezpieczeństwo i obronność | Cyfryzacja | Media | Polityka | Prawo
Link źródłowy: kliknij tutaj
Informacja prasowa: kliknij tutaj
Skopiuj link do raportuStreszczenie
Streszczenie
Raport dotyczący cyberbezpieczeństwa, opracowany przez KPMG, analizuje stan przygotowania polskich przedsiębiorstw na zagrożenia w cyberprzestrzeni. Badanie, przeprowadzone wśród 100 firm, ujawnia, że 45% respondentów ocenia swoje przygotowanie na zmiany legislacyjne jako dobre lub bardzo dobre. Wskazuje to na zróżnicowany poziom dojrzałości w zakresie zabezpieczeń, z rosnącym sceptycyzmem wobec własnych umiejętności w porównaniu do lat poprzednich.
W 2023 roku 80% firm zadeklarowało brak naruszeń ochrony danych, podczas gdy jedynie 2% zgłosiło więcej niż 30 przypadków. Wskazano również na istotne wyzwania, takie jak brak odpowiednich budżetów, zaangażowania ze strony kierownictwa oraz jasno zdefiniowanych wskaźników bezpieczeństwa. Ponadto, 84% firm korzysta z outsourcingu w zakresie zarządzania bezpieczeństwem, co wskazuje na rosnącą świadomość potrzeby ekspertyzy zewnętrznej.
Raport podkreśla znaczenie szybkiej reakcji na incydenty oraz przestrzegania przepisów RODO, aby uniknąć sankcji. W obliczu dynamicznie zmieniającego się otoczenia zagrożeń, organizacje powinny dążyć do wzmocnienia swoich strategii bezpieczeństwa, aby skutecznie chronić dane i budować zaufanie wśród klientów i interesariuszy.
Wnioski
Wnioski
1. Wzrost znaczenia zgodności z regulacjami: Firmy coraz bardziej doceniają konieczność przestrzegania przepisów, zwłaszcza w kontekście ogólnego rozporządzenia o ochronie danych (RODO) oraz nadchodzących regulacji unijnych, co wskazuje na rosnącą świadomość w zakresie zarządzania ryzykiem prawnym i reputacyjnym.
2. Rola wewnętrznych narzędzi monitorujących: Ponad 76% respondentów wskazuje na wewnętrzne narzędzia monitorujące jako najskuteczniejszą metodę oceny zgodności z wymogami IT, co podkreśla znaczenie inwestycji w rozwój własnych systemów oraz procesów w zakresie bezpieczeństwa informatycznego.
3. Wzrost znaczenia zewnętrznych audytów: 52% firm korzysta z zewnętrznych audytów jako metody oceny zgodności, co sugeruje, że organizacje dostrzegają wartość w niezależnej ocenie oraz w pozyskiwaniu wiedzy na temat dynamicznie zmieniającego się otoczenia regulacyjnego.
4. Wyzwania związane z edukacją pracowników: Mimo zaangażowania w dostosowywanie się do przepisów, wiele organizacji boryka się z problemem ciągłej edukacji pracowników, co wskazuje na potrzebę wdrożenia systematycznych programów szkoleniowych w zakresie cyberbezpieczeństwa.
5. Zróżnicowany stan przygotowania do zagrożeń: Około 45% firm ocenia swoje przygotowanie na zmiany w regulacjach jako dobre lub bardzo dobre, co wskazuje na różnorodność w poziomie dojrzałości organizacji w obliczu współczesnych zagrożeń w cyberprzestrzeni.
6. Wpływ pandemii i konfliktów geopolitycznych na dojrzałość bezpieczeństwa: Zmiany w ocenie dojrzałości obszarów bezpieczeństwa, szczególnie w kontekście pandemii COVID-19 oraz wojny w Ukrainie, wskazują na rosnący sceptycyzm firm wobec własnych zdolności do zarządzania ryzykiem, co może wymagać przemyślenia strategii bezpieczeństwa.
Główne rekomendacje
Główne rekomendacje
1. Wzmocnienie szkoleń dla pracowników: Organizacje powinny zainwestować w regularne szkolenia dotyczące cyberbezpieczeństwa, aby zwiększyć świadomość pracowników na temat zagrożeń oraz najlepszych praktyk w zakresie ochrony danych. Szkolenia powinny obejmować zarówno teoretyczne aspekty, jak i praktyczne symulacje, co pozwoli na lepsze przygotowanie zespołów do reagowania na incydenty.
2. Integracja zewnętrznych audytów: Firmy powinny regularnie korzystać z zewnętrznych audytów w celu oceny zgodności z regulacjami oraz identyfikacji luk w systemach bezpieczeństwa. Zewnętrzni eksperci mogą dostarczyć obiektywnej oceny oraz rekomendacji, które pomogą w dostosowaniu strategii bezpieczeństwa do zmieniającego się otoczenia regulacyjnego.
3. Zwiększenie inwestycji w technologie monitorujące: Organizacje powinny zainwestować w nowoczesne narzędzia do monitorowania bezpieczeństwa, które umożliwiają automatyczne śledzenie i raportowanie incydentów. Wdrożenie takich systemów pozwoli na szybsze wykrywanie zagrożeń oraz efektywniejsze zarządzanie ryzykiem.
4. Opracowanie planu reakcji na incydenty: Każda organizacja powinna stworzyć i regularnie aktualizować plan reakcji na incydenty, który określa procedury postępowania w przypadku naruszenia bezpieczeństwa. Plan ten powinien być testowany poprzez symulacje, aby zapewnić, że wszyscy pracownicy znają swoje role i odpowiedzialności w sytuacjach kryzysowych.
5. Zwiększenie współpracy z dostawcami usług zewnętrznych: Firmy powinny dążyć do zacieśnienia współpracy z dostawcami usług zewnętrznych, aby lepiej integrować ich ekspertyzy w obszarze cyberbezpieczeństwa. Współpraca ta powinna obejmować nie tylko outsourcing funkcji bezpieczeństwa, ale także wspólne inicjatywy w zakresie szkoleń i wymiany wiedzy.
6. Monitorowanie zmian w regulacjach prawnych: Organizacje powinny ustanowić dedykowane zespoły odpowiedzialne za monitorowanie i analizowanie zmian w regulacjach dotyczących ochrony danych i cyberbezpieczeństwa. Proaktywne podejście do zmian legislacyjnych pozwoli na szybsze dostosowanie się do nowych wymogów oraz minimalizację ryzyka sankcji.