Ma a nagyobb cégek mindössze harmada képes mérni és értékelni saját informatikai biztonsági mutatóit, noha a biztonsági incidensek évente dollármilliós kárt okoznak nekik. Ezt állapítja meg a KPMG első nemzetközi információbiztonsági felmérésében. A KPMG munkatársai világszerte olyan cégeket vizsgáltak, amelyeknek éves forgalma meghaladta az ötvenmillió dollárt.
A felmérés szerint a cégek a vírusokat és az információs rendszert illegálisan feltörő behatolókat (hackereket) jelölték meg a legfőbb veszélyforrásnak. A vizsgálatok azonban azt mutatták, hogy a vírusok (a cégek hatvanegy százaléka számolt be vírustámadásról) után a technikai berendezések lopása okozza a legtöbb kárt (harmincnyolc százalék). Hackertámadást a cégek tizenkét százaléka jelentett — ez csak a hatodik leggyakoribb veszélyforrás.
Míg a cégek informatikai költségvetésük tíz százalékát fordítják a biztonságra, azt már nem vizsgálják, megtérül-e ez a ráfordítás. Egy-egy informatikai biztonsági probléma kezelése átlagosan száznyolcezer dollár kiadást jelent a társaságoknak.
Ennek ellenére a legtöbb vállalat túl magabiztos saját biztonsági színvonalát tekintve: ötvennyolc százalékuk tartja úgy, hogy minden ésszerű lépést megtett a védekezésért, ugyanakkor közülük is minden tizedik elismerte, hogy semmilyen formában nem méri a biztonsági lépések hatékonyságát, sőt ötvenkét százalékuk nem rendelkezik olyan rendszerrel, amely észleli az illetéktelen behatolást.
A valódi teljesítményt mindössze a cégek mintegy harmada (harmincöt százalék) képes mérni és értékelni, míg a vállalatok több mint fele azt sem tudta megmondani, mennyit költ az informatikai biztonság megteremtésére.
A cégek kevesebb mint feléről mondható el, hogy informatikai biztonságért igazgatósági szintű vezető felel, miközben az e területen dolgozók hetvenhárom százalékának nincs szakirányú végzettsége.
A felmérés megállapításairól Mathew Ring, a KPMG közép- és kelet-európai regionális irodája információkockázat-kezelési (Information Risk Management — IRM) részlegének partnere elmondta, „egyre fontosabbá válik a biztonsági teljesítmény mérése. Pontos adatok nélkül nem irányítható hatékonyan egy rendszer működése. Felmérésünk jól tükrözi, hogy a cégek többsége nem képes mérni és értékelni saját informatikabiztonsági teljesítményét. Fontos, hogy a szervezetek megtalálják saját rendszerük legsebezhetőbb pontját. Ha a védelmi mechanizmusokat nem alkalmazzák megfelelően mindenütt, akkor ezen a leggyengébb ponton keresztül, egy láncreakcióhoz hasonlóan, a rendszer minden eleme támadhatóvá válik.”