Orange Insights: Znaczenie outsourcingu dla bezpieczeństwa informatycznego w dużych firmach
Wiedza, doświadczenie i możliwość optymalizacji kosztów to główne zalety korzystania z outsourcingu, na które wskazywali przedstawiciele dużych firm w badaniu zrealizowanym przez ICAN Research – na zlecenie Orange Polska. Kolejna część raportu przedstawia podejście firm do outsourcingu oraz odpowiada na pytania dotyczące podstaw wyboru środków zabezpieczających ciągłość działania przedsiębiorstwa. Raport ujawnia także motywy korzystania z usług zewnętrznych dostawców i wskazywane z tego tytułu korzyści.
Kluczowe wnioski z raportu:
- 46 proc. badanych uważa, że outsourcing ma duże znaczenie dla bezpieczeństwa informatycznego ich organizacji. Opinię tę wyrażają częściej prezesi i właściciele niż dyrektorzy finansowi i IT.
- Co trzecia badana firma korzysta z outsourcingu, w tym co dziesiąta w całości powierza obszar bezpieczeństwa zewnętrznym podmiotom. Najczęściej firmy te współpracują z wyspecjalizowanymi dostawcami (52 proc.), rzadziej korzystają z niezależnych konsultantów/specjalistów (27 proc).
- Główną motywacją do korzystania ze wsparcia zewnętrznego jest wiedza i doświadczenie oraz możliwość optymalizacji kosztów. Dyrektorzy finansowi zwracają również uwagę na lepszą infrastrukturę dostawcy.
- Firmy współpracujące z zewnętrznym dostawcą najczęściej korzystają z usług takich jak: audyt bezpieczeństwa, outsourcing wybranych obszarów, monitoring cyberataków oraz doradztwo w zakresie bezpieczeństwa informatycznego.
Orange Insights, to druga edycja cyklu raportów przygotowanych na podstawie badań przeprowadzonych przez ICAN Research na zlecenie Orange Polska wśród działających w Polsce przedsiębiorców. Najnowszy raport dotyczy dużych firm, zatrudniających powyżej 250 pracowników. Jego tematem było postrzeganie przedstawicieli i pracowników zagadnień bezpieczeństwa działania systemów informatycznych i nowych technologii w przedsiębiorstwie.
Outsourcing a bezpieczeństwo IT w firmie
Blisko połowa badanych (46 proc.) uważa, że outsourcing jest ważny dla bezpieczeństwa informatycznego ich organizacji. Istotnie częściej jest to ważne dla prezesów i właścicieli niż dla pozostałych grup badanych pracowników. Częściej usługi outsourcingu są doceniane również w sektorze usług (59 proc.), natomiast rzadziej w handlu (38 proc.).
O szerokiej skali cyfryzacji mówimy teraz zdecydowanie częściej niż jeszcze kilka lat temu. Wymiana informacji w dużych firmach i instytucjach jest znacznie prostsza dzięki nieustannie udoskonalanym technologiom i systemom informatycznym. Faktem jest jednak, że im więcej cyfrowych technologii tym większa pokusa dla cyberprzestępców. W 2015 CERT Polska zanotował aż 200 mln zgłoszeń dotyczących zagrożeń w polskich sieciach komputerowych. Natomiast z raportu CERT Orange Polska, również za 2015 rok, wynika, że liczba obsługiwanych miesięcznie incydentów wynosi niemal 1700 miesięcznie. Bardzo popularne były i wciąż są również ataki DDoS, których w zeszłym roku zidentyfikowano ponad 60 tysięcy. Nasz zespół ma za zadanie identyfikować i chronić sieci informatyczne klientów przez 24 godziny na dobę – podkreśla Tomasz Matuła, Dyrektor Infrastruktury ICT i Cyberbezpieczeństwa w Orange Polska.
Badani, którzy zadeklarowali korzystanie z usług wspierających bezpieczeństwo informatyczne, najczęściej wybierają audyty bezpieczeństwa (20 proc.) oraz outsourcing wybranych obszarów, uznawanych za najbardziej podatne na ataki (18 proc.). Na kolejnym miejscu znalazł się monitoring ataków z zewnątrz organizacji (np. ataki DDoS) oraz doradztwo w zakresie korzystnych rozwiązań i analizy zdarzeń, na które wskazało 17 proc. ankietowanych. Z outsourcingu infrastruktury, czyli przeniesienia systemów informatycznych do zewnętrznego centrum przetwarzania danych, tzw. Data Center, korzysta 14 proc. badanych.
Outsourcer i Non-Outsourcer – podejście firm do outsourcingu
Badanie przeprowadzone na zlecenie Orange Polska wykazało, że co trzecia firma korzysta z usług zewnętrznego dostawcy w zakresie bezpieczeństwa informatycznego. Przedsiębiorstwa decydują się najczęściej na obsługę przez wyspecjalizowane firmy zewnętrzne wybranych obszarów IT. Taką współpracę wybiera aż 52 proc. badanych, natomiast znacznie rzadziej wybierane są usługi niezależnych specjalistów IT – 27 proc.
Na pytanie dlaczego badana firma zdecydowała się na outsourcing w obszarze bezpieczeństwa IT, najczęściej wskazywano, że daje on dostęp do wysokiej klasy specjalistów w tej dziedzinie (28 proc.) oraz pozwala optymalizować koszty (22 proc.). Kolejnym najczęściej wymienianym argumentem był dostęp do najlepszej wiedzy i doświadczenia (18 proc.).
Inne spojrzenie prezentują przedsiębiorstwa nie współpracujące z zewnętrznymi specjalistami IT. Preferują one samodzielne rozwijanie kompetencji z obszaru bezpieczeństwa informatycznego (43 proc.) i niezależne sprawowanie nad nim kontroli (26 proc.). Co istotne, dyrektorzy i kierownicy IT znacznie częściej niż prezesi i dyrektorzy finansowi byli przeciwni korzystaniu z usług outsourcingu.
Różnice między firmami korzystającymi i nie korzystającymi z outsourcingu
Przedsiębiorstwa korzystające z usług zewnętrznych dostawców IT to głównie organizacje z kapitałem zagranicznym oraz liderzy w swoich kategoriach produktowych (ponad 88 proc. deklarujących korzystanie z outsourcingu). Zdecydowana większość w tej grupie (powyżej 85 proc.) twierdzi, że radzi sobie z zabezpieczeniem danych i ochroną przed cyberatakami, a także kontrolą dostępu do systemów i przestrzeganiem przez pracowników procedur bezpieczeństwa.
Natomiast firmy preferujące samodzielną kontrolę nad bezpieczeństwem informatycznym najczęściej są małymi bądź średnimi graczami rynkowymi z polskim kapitałem (blisko 80 proc. w grupie nie korzystających z usług zewnętrznego dostawcy). Firmy te mają najczęściej problemy z zapewnieniem odpowiednich środków na inwestycje w bezpieczeństwo. Częściej też nie radzą sobie nie tylko z budowaniem odpowiedzialności wśród pracowników, ale także z zagrożeniami ze strony cyberprzestępców oraz zabezpieczeniem danych w chmurze obliczeniowej. Co ważne, pracownicy firm nie korzystających z outsourcingu mogą także częściej korzystać ze służbowych urządzeń w celach prywatnych.
Istotną różnicę stanowi również określenie krytycznego obszaru bezpieczeństwa firmy: Outsourcer wskazuje na dział IT w przeciwieństwie do Non-Outsourcera, który uważa, że to finanse są kluczowe dla zachowania bezpieczeństwa funkcjonowania przedsiębiorstwa.
Współpraca z zewnętrznym dostawcą bezpieczeństwa IT
Wyniki badania Orange Insights wyraźnie wskazują, że przedsiębiorcy są świadomi nie tylko wzrastających cyberzagrożeń, ale przede wszystkim znaczenia poprawnego działania systemów informatycznych dla bezpieczeństwa ciągłości funkcjonowania ich firm. Co więcej, przedstawiciele firm doskonale wiedzą, że niezbędni są im wykwalifikowani specjaliści IT z bogatą wiedzą i doświadczeniem. A o nich jest coraz trudniej na rynku, dlatego też współpraca z zewnętrznymi dostawcami, zatrudniającymi zespół ekspertów IT specjalizujących się w obszarze bezpieczeństwa, jest dobrym rozwiązaniem. Duże firmy zapewniają sobie w ten sposób dostęp do najnowszych technologicznych udogodnień, kompetentne doradztwo oparte na cennym know-how oraz całodobowe wsparcie. – wylicza Tomasz Matuła.
Badani potwierdzają, że kompetencje, doświadczenie i specjalizacja w bezpieczeństwie to najważniejsze kryteria wyboru zewnętrznego dostawcy. Cena wśród najważniejszych czynników znajduje się dopiero na 9 miejscu.
Co trzeci badany (około 38 proc.) uważa także, że operator telekomunikacyjny może pełnić rolę dostawcy w obszarze bezpieczeństwa IT. Otwarci na taką współpracę są najczęściej prezesi firm oraz przedstawiciele sektora handlu. Warto również podkreślić, że co druga firma korzystająca z outsourcingu bezpieczeństwa rozważyłaby firmę telekomunikacyjną jako wsparcie.
Kluczowym argumentem przemawiającym za współpracą z operatorem, na który wskazało blisko 50 proc. jej zwolenników, jest jego duże doświadczenie, wiedza oraz stabilność. Na co przeciwnicy odpowiadają, że brak mu elastyczności i sprawności operacyjnej (około 30 proc. odpowiedzi).
Na temat badania
W drugiej edycji badania Orange Insights dotyczącej dużych firm i korporacji zrealizowano łącznie 336 ankiet. W celu zapewnienia reprezentatywności danych wyniki zostały przeważone według struktury branż PKD (po przeważeniu wielkość próby wyniosła 327 ankiet). Badanie zostało zrealizowane metodą CATI/CAWI. Wzięli w nim udział przedstawiciele dużych firm i korporacji podejmujący decyzje w zakresie inwestycji w sprzęt, oprogramowanie i technologie informatyczne – prezesi, właściciele, dyrektorzy finansowi, operacyjni oraz szefowie IT.
źródło: