• Home
  • > Newsroom
  • > News releases
  • > Ad-hoc information security solutions no longer an option, as companies struggle to keep pace with today’s threats

Ad-hoc information security solutions no longer an option, as companies struggle to keep pace with today’s threats

  • Share
  • Three-quarters of organizations report an increase in external attacks
  • No security architecture framework in place for 63% of organizations
  • Cloud computing uptake doubles since 2010, yet 38% of respondents report no security measures to mitigate risks

 

Luxembourg, 27 November 2012

Organizations need to fundamentally shift their approach to information security in order to meet the threats presented by existing and emerging technologies according to Ernst & Young’s Global Information Security Survey 2012 report just released. The report, now in its fifteenth year, is one of the most comprehensive surveys in its field and is based on responses from over 1,850 CIOs, CISOs and other information security executives in 64 countries. 

Organizations are implementing incremental improvements to their information security capabilities to provide short-term solutions — without tackling the issues associated with the overall information security threat. With 31% experiencing a higher number of security incidents in the last two years, the need to develop a robust security architecture framework has never been greater. However 63% of organizations have no such framework in place and only 16% of respondents report that their information security function fully meets the needs of the organization.

Commenting on the findings, Christophe Wintgens, Advisory Leader and IT Risk and Assurance Services Leader at Ernst & Young Luxembourg says, “The new normal for the CIO is that fast is not fast enough. The velocity and complexity of change is happening at a staggering pace, with emerging markets, continuing economic volatility, off-shoring and increasing regulatory requirements adding to an already complicated information security environment.”

 

Threat level continues to rise

Organizations recognize that the risk environment is changing, as the frequency and nature of information security threats increase and the number of security incidents rises. Over three-quarters (77%) of respondents agreed that there is an increasing risk from external attacks, but this is not the only source for concern for global organizations, with 46% reporting that internal vulnerabilities are also on the rise.

 

The unstoppable march of new technology

New technologies are opening up tremendous opportunities for organizations; but also potential threats from previously unknown sources. Cloud computing continues to be one of the main drivers of business model innovation, with the numbers of organizations using the cloud almost doubling in the last two years. However, 38% of organizations have not taken any measures to mitigate the risks, such as stronger oversight on the contract management process for cloud providers or the use of encryption techniques.

Another significant new technology is internet-enabled mobile devices, whose technology advancements — and the associated business benefits — have vastly increased adoption rates. 

Christophe Wintgens comments, “With 44% of organizations now allowing the use of company or privately-owned tablets — up from 20% in 2011 — substantial levels of information are now flowing in and out of the office, making control increasingly difficult.”

Organizations recognize that they need to do more on mobile technology. However, in the fast-moving mobile computing market the adoption of security techniques and software is still relatively low, with just 40% of organizations using some form of encryption technique on mobile devices.

 

More money, but is it well spent?

With more risks and more technology to secure, organizations are responding by increasing budgets and adjusting their priorities. Fifty-one percent of organizations reported plans to increase their budget by more than 5% in the next 12 months. While 32% of respondents spend over US$1m on information security, the level of investment varies globally, with 48% of Americas’ organizations allocating in excess of US$1m, compared with 35% and 26% in Asia-Pacific and EMEIA (Europe, Middle East, India and Africa) respectively. In terms of where the budget is assigned, the top investment priorities are securing new technologies (55%) and business continuity (47%). 

 

Responsibility shift needed from IT to the risk function

The budget increases planned can only be effective with the right decision-makers taking responsibility. Information security continues to be IT-led within many organizations; with 63% of respondents indicating that their organizations have placed the responsibility for information security in the hands of the IT function.

However, as information security begins to spread beyond traditional IT issues, decisions are now needed around selecting the right tools, processes and methods for monitoring threats, gauging performance and identifying coverage gaps, and a reappraisal of responsibilities is required.

With just 5% of chief risk officers currently responsible for information security, many organizations lack the formal risk assessment mechanism provided by the risk function, resulting in 52% of organizations having no threat intelligence program in place. The proliferation of threats — and the acceleration of the gap between vulnerability and security — requires multiple sources of assessment, such as internal audit, internal self assessments and third-party assessments, to monitor and evaluate security incidents.

Christophe Wintgens concludes, “For some organizations, skills resources, security maturity or budget may be playing a role in their decision-making; but these bolt-on or stack work-around solutions being seen today — which fix short-term information security needs — are masking a bigger problem around vulnerability.”

When looking to the future, he adds, “Although we’ve identified some of the current gaps, there are still more on the horizon, in the form of government intervention and new regulatory pressures. If organizations don’t take action to develop comprehensive security frameworks today, the combined consequences of the current and future issues will only fuel the information security threat further.”

To read the complete survey findings and recommendations for organizations, visit www.ey.com/GISS.

Read the French version of this press release

La sécurité de l’information : une nécessité face aux menaces actuelles

- Les trois quarts des entreprises constatent une augmentation des attaques externes
- Aucun cadre d’architecture de sécurité n’est mis en place dans 63% des entreprises
- L’adoption du Cloud computing a doublé depuis 2010, néanmoins 38% des sondés indiquent qu’aucune mesure de sécurité n’a été prise pour atténuer les risques

Luxembourg, le 27 novembre 2012

Selon l’édition 2012 de l’étude Global Information Security (GIIS) d’Ernst & Young qui vient de paraître, les entreprises doivent opérer un changement fondamental dans leur approche de sécurité de l’information afin de faire face aux menaces que peuvent présenter les technologies existantes et émergentes. Depuis 15 ans déjà, ce rapport constitue l’une des études les plus complètes dans ce domaine et se base sur les réponses de 1850 CIOs, CISOs et autres responsables de services de sécurité de l’information dans 64 pays.

Les entreprises améliorent progressivement leurs capacités relatives à la sécurité de l’information afin d’apporter des solutions à court terme sans toutefois traiter des problématiques liées aux menaces auxquelles est confrontée la sécurité de l’information dans son ensemble. Au cours des deux dernières années, 31% des sondés ont rencontré un plus grand nombre d’incidents liés à la sécurité. Par conséquent, la nécessité de développer un cadre d’architecture de sécurité robuste n’a jamais été aussi forte. Néanmoins, 63% des entreprises n’ont pas de tel cadre en place et 16% seulement des sondés rendent comptent d’une fonction de sécurité de l’information en totale adéquation avec les besoin de l’entreprise.

Christophe Wintgens, à la tête du département Advisory d’Ernst & Young Luxembourg commente les conclusions du rapport : « La nouvelle donne pour le CIO est la suivante : la rapidité d’action n’est pas assez grande. Les changements toujours plus complexes s’opèrent à un rythme effréné et il faut tenir compte des marchés émergents, de l’instabilité économique toujours présente, de l’off-shoring ainsi que des exigences réglementaires accrues en plus d’un environnement de la sécurité de l’information déjàcomplexe ».

 

Accroissement continu des menaces

Les entreprises assistent à une mutation de l’environnement des risques, alors que la fréquence et la nature des menaces liées à la sécurité de l’information tout comme le nombre d’incidents liés à la sécurité augmentent. Plus des trois quarts (77%) des sondés s’accordent sur le fait qu’il existe un risque croissant d’attaques externes mais ce n’est pas l’unique source de préoccupations pour les entreprises d’envergure mondiale, 46% d’entre elles signalent une augmentation des vulnérabilités internes.

 

La marche ininterrompue des nouvelles technologies

Les nouvelles technologies offrent d’énormes opportunités aux entreprises mais constituent également des menaces potentielles émanant de sources jusqu’alors inconnues. Le cloud computing continue d’être l’un principaux moteurs d’innovation en matière de modèle d’entreprise, le nombre d’organisations utilisant le cloud ayant presque doublé au cours des deux dernières années. Toutefois, 38% des organisations n’ont pris aucune mesure telle que la supervision accrue du processus de gestion des contrats des fournisseurs de cloud ou l’utilisation de techniques de cryptage en vue d’atténuer leurs risques.

Les appareils comportant des fonctions internet dont les avancées technologiques et les avantages commerciaux inhérents ont contribué largement à la très forte hausse de leur taux d’utilisation sont une autre nouvelle technologie revêtant désormais une grande importance.

Christophe Wintgens commente: « Avec 44% des entreprises autorisant à l’heure actuelle l’utilisation de tablettes personnelles ou appartenant à leur entreprise — ce qui représente une hausse de 20% en comparaison à 2011 — des flux substantiels d’information entrent et sortent désormais du bureau, rendant les contrôles de plus en plus ardus ».

Les entreprises reconnaissent la nécessité d’investir plus dans la technologie mobile. Toutefois dans un marché de l’informatique mobile en rapide mutation, l’adoption de techniques et de logiciels de sécurité reste relativement faible ; 40% à peine des entreprises utilisent certains types de techniques de cryptage sur les appareils mobiles.

 

Plus d’argent mais est-il bien dépensé ?

Face à un accroissement des risques et des technologies à sécuriser, les entreprises augmentent leurs budgets et adaptent leurs priorités.

55% des entreprises ont indiqué avoir des projets d’augmentation de leur budget de l’ordre de plus de 5% au cours des 12 prochains moins. Alors que 32% des sondés consacrent plus d’un million de dollars à la sécurité de l’information, le niveau d’investissement varie à l’échelle mondiale : 48% des entreprises américaines y consacrent plus d’un million de dollars, alors que les régions d’Asie-Pacifique et d’EMEIA (Europe, Moyen-Orient, Inde et Afrique) y consacrent respectivement 35% et 26%. En termes d’allocation du budget à des postes précis, les priorités arrivant en tête des investissements sont la sécurisation des nouvelles technologies (55%) et la continuité des opérations (47%).

 

Le transfert de la responsabilité de la fonction IT à la fonction « Risque » est indispensable

L’augmentation planifiée des budgets ne peut être efficace que si les décideurs en assument la responsabilité. La sécurité de l’information continue à être prise en charge par le département informatique au sein de nombreuses entreprises, 63% des sondés indiquant que leurs entreprises ont confié la responsabilité de la sécurité de l’information au service informatique.

Cependant, la sécurité de l’information allant bien au-delà de la sphère informatique traditionnelle, une prise de décisions liées à la sélection d’outils, des processus et méthodes de contrôle adéquats de la gestion des risques s’avère désormais indispensable, tout comme l’évaluation des performances, l’identification des domaines non couverts et une remise en cause des responsabilités.

Alors qu’exactement 5% des responsables en charge de la gestion des risques sont également responsables de la sécurité de l’information, de nombreuses organisations ne disposent pas de mécanisme d'évaluation des risques en bonne et due forme mis à disposition par la fonction « risque », ce qui a pour conséquence l’absence de tout programme de renseignements sur les menaces dans 52% des organisations. La prolifération des menaces et l’accélération du fossé entre la vulnérabilité et la sécurité nécessite de multiples sources d’évaluation telles que l’audit interne, des auto-évaluations internes ainsi que des évaluations par des tiers afin de contrôler et d’évaluer les incidents en matière de sécurité.

Christophe Wintgens conclut : « Certaines entreprises prennent des décisions en matière de sécurité qui répondent à des besoins à court terme et qui dépendent plus de leur ressources et de leur budget que d'une réelle stratégie visant à réduire leur vulnérabilité. ».

En termes de perspectives d’avenir, il ajoute: « Même si nous avons identifié certains des manquements actuels, bien d’autres se profilent encore à l’horizon, liés notamment aux interventions gouvernementales ou à de nouvelles pressions réglementaires. Si les entreprises ne prennent pas dès aujourd’hui les mesures nécessaires afin de développer des cadres de sécurité complets, les effets combinés des problématiques actuelles et à venir alimenteront sans cesse davantage les menaces pesant sur la sécurité de l’information ».

L’intégralité des conclusions et recommandations de ce rapport destiné aux entreprises est accessible sur le site : www.ey.com/GISS.

Read the German version of this press release

Ad-hoc Lösungen zur Informationssicherheit keine Option, da Firmen mit den heutigen Gefahren nicht mehr Schritt können

- Drei Viertel der Unternehmen berichten von einem Anstieg der Angriffe von auβen
- Keine Sicherheitsarchitektur in 63% der Unternehmen
- Cloud Computing hat sich seit 2010 verdoppelt, obwohl 38% der Befragten angeben, dass es keine Sicherheitsmaβnahmen zur Risikobegrenzung gibt

Luxemburg, 27. November 2012

Laut dem kürzlich veröffentlichten Bericht Global Information Security Survey 2012 von Ernst & Young müssen Unternehmen ihre Vorgehensweise im Hinblick auf die Informationssicherheit grundsätzlich überdenken, um den Bedrohungen durch bestehende und neue Technologien entgegentreten zu können. Der Bericht, der in diesem Jahr zum fünfzehnten Mal erschienen ist, ist eine der umfassendsten Befragungen in diesem Bereich und basiert auf Antworten von über 1.850 CIOs, CISOs und anderen Verantwortlichen für die Informationssicherheit in 64 Ländern.

Zur Verbesserung ihrer Informationssicherheit stellen Unternehmen zunehmend kurzfristige Lösungen bereit – ohne jedoch die Probleme zu lösen, die mit der allgemeinen Bedrohung der Informationssicherheit in Zusammenhang stehen. Dadurch, dass 31% der Befragten einen Anstieg der sicherheitsrelevanten Zwischenfälle in den vergangenen zwei Jahren festgestellt haben, war die Notwendigkeit einer stabilen Sicherheitsarchitektur nie gröβer. 63% der Unternehmen verfügen jedoch nicht über einen solchen Sicherheitsrahmen und nur 16% der Befragten geben an, dass deren Funktion der Informationssicherheit den Bedürfnissen des Unternehmens voll und ganz genügt.

In seinem Kommentar zu den Ergebnissen erläutert Christophe Wintgens, Advisory Leader und IT Risk and Assurance Services Leader bei Ernst & Young Luxemburg: „Zur neuen Normalität eines CIO gehört, dass schnell nicht schnell genug ist. Die Geschwindigkeit und Komplexität des Wandels geschieht in einem atemberaubendem Tempo, wobei Schwellenländer, anhaltende volatile wirtschaftliche Rahmenbedingungen, Abwanderung und die Zunahme regulatorischer Anforderungen zu einem bereits schwierigen Informationssicherheitsumfeld noch hinzukommen.”

 

Gefahrenniveau steigt weiter an

Unternehmen erkennen, dass das Risikoumfeld sich verändert, da die Häufigkeit und Art der Gefahren der Informationssicherheit sowie die Anzahl der sicherheitsrelevanten Zwischenfälle zunehmen. Über drei Viertel (77%) der Befragten teilen die Auffassung, dass sich das Risiko von Angriffen von auβen häuft. Aber nicht nur dies allein gibt internationalen Unternehmen Anlass zur Sorge, denn 46% geben an, dass auch interne Sicherheitsrisiken ansteigen.

 

Der unaufhaltsame Marsch neuer Technologien

Neue Technologien bieten Unternehmen enorme Möglichkeiten, aber auch potentielle Gefahren aus bisher unbekannten Quellen. Cloud Computing ist weiterhin einer der wichtigsten Anreize der Geschäftsmodellinnovation. Die Zahl der Unternehmen, die Cloud Computing nutzen, hat sich in den vergangenen zwei Jahren fast verdoppelt. 38% der Unternehmen haben jdeoch keine Sicherheitsmaβnahmen zur Risikobegrenzung, wie z.B. eine bessere Übersicht über das Vertragsmanagement für Cloud-Anbieter oder die Nutzung von Verschlüsselungstechniken getroffen.

Zu den bedeutenden neuen Technologien gehören unter anderem auch internetfähige Mobilfunkgeräte, deren technologische Neuerungen – und die damit verbundenen wirtschaftlichen Vorteile – die Akzeptanz erheblich verbessert haben. 

Christophe Wintgens erläutert: „Da 44% der Unternehmen die Nutzung von Firmen- oder privaten Tablet-PCs erlauben – in 2011 lag die Nutzung bei 20% - sind die Informationsflüsse in und aus den Unternehmen beträchtlich, wodurch die Kontrolle immer schwieriger wird.”

Unternehmen haben erkannt, dass sie mehr im Bereich mobile Technologien unternehmen müssen. Auf dem sich schnell wandelnden Markt der mobilen Computertechnologie ist die Einführung von Sicherheits- und Softwaretechniken jedoch relativ langsam. Nur 40% der Unternehmen nutzen eine Art von Verschlüsselungsverfahren für Mobilfunkgeräte.

 

Mehr finanzielle Mittel, aber werden sie sinnvoll investiert?

Da Unternehmen mehr Risiken und Technologien sichern müssen, erhöhen sie die Budgets und passen ihre Prioritäten an. 51% der Unternehmen gaben an, dass sie eine Erhöhung ihres Budgets um 5% in den kommenden 12 Monaten beabsichtigen. Obwohl 32% der Befragten über USD 1 Mio. für Informationssicherheit ausgeben, variieren die Investitionen weltweit. 48% der amerikanischen Unternehmen stellen über USD 1 Mio. bereit, während im asiatisch-pazifischen Raum 35% und in EMEIA (Europa, Naher und Mittlerer Osten, Indien und Afrika) 26% bereitgestellt werden. In Bezug auf die Frage, wo das Budget eingesetzt wird, liegen die höchsten Prioritäten im Bereich der Sicherung neuer Technologien (55%) und der Geschäftskontinuität (47%). 

 

Verlagerung der Verantwortung von der IT- auf die Risikofunktion

Die geplanten Budgeterhöhungen können nur dann wirksam sein, wenn die richtigen Entscheidungsträger Verantwortung übernehmen. Informationssicherheit wird in vielen Unternehmen weiterhin von der IT-Abteilung geleitet. 63% der Befragten gaben an, dass ihre Unternehmen die Verantwortung für Informationssicherheit der IT-Funktion übertragen haben.

Da Informationssicherheit mittlerweile jedoch über die klassischen IT-Fragen hinausgeht, müssen Entscheidungen zu den richtigen IT-Tools, Prozessen und Methoden zur Überwachung von Gefahren, zur Performancemessung und Identifizirung von Erfassungslücken sowie die Neubeurteilung des Zuständigkeitsbereichs getroffen werden.

Derzeit sind nur 5% der Chief Risk Officer für Informationssicherheit verantwortlich, daher fehlt es vielen Unternehmen an der formellen Risikobewertung, die von der Risikofunktion bereitgestellt wird. Dadurch besteht in 52% der Unternehmen kein Programm zur Gewährleistung von Sicherheitsmaβnahmen. Die Zunahme von Gefahren — und die immer gröβer werdende Kluft zwischen den Schwachstellen und der Sicherheit — setzt mehrere Bewertungsquellen zur Überwachung und Bewertung von sicherheitsrelevanten Zwischenfällen voraus. Dazu gehören z.B. die Interne Revision, interne Selbstbewertungen sowie Bewertungen durch Dritte.

Christophe Wintgens fasst zusammen: „Fähigkeitsressourcen, Sicherheitsreife oder Budget mögen bei der Entscheidungsfindung einiger Unternehmen eine Rolle spielen; aber diese nachträglichen Lösungen oder diese Ansammlung von Notlösungen, mit denen wir es heute zu tun haben – die die Informationssicherheit kurzfristig in Ordnung bringen — verschleiern gröβere Schwierigkeiten bei Schwachstellen.”

Nach vorne blickend fügt er hinzu: „Obwohl wir einige bestehende Lücken identifiziert haben, sind noch zahlreiche Lücken in Form von staatlichen Eingriffen und neuer Regulierungsdruck abzusehen. Ergreifen Unternehmen heute keine Maβnahmen zur Entwicklung umfassender Sicherheitssysteme, werden die Auswirkungen der aktuellen und künftigen Probleme die Bedrohung der Informationssicherheit weiter verstärken.”

Alle Ergebnisse der Befragung sowie die Empfehlungen für Unternehmen stehen Ihnen unter folgendem Link zur Verfügung: www.ey.com/GISS.