Vækstlandene er ved at overhale de traditionelle sikkerhedsbastioner i Europa og Amerika.
Det viser en ny sikkerhedsrapport fra af PricewaterhouseCoopers (PwC), der har samlet svar fra 7.000 ledere inden for informationssikkerhed i hele verden.
"Mange vækstlande er i fuld gang med at overføre en stram struktur og metode til sikkerhedsområdet. Det betyder, at regioner som Sydamerika og Asien vil overhale os i løbet af ganske få år," vurderer sikkerhedsekspert hos PwC, Martin Povelsen.
Ser man på de kolde kontanter, har sikkerhedsbudgetterne på disse to kontinenter vokset sig dobbelt så store som i Europa og USA.
De traditionelle frontkæmpere stagnerer, mens de nye markeder buldrer frem på sikkerhedsområdet. Sådan lyder en af hovedkonklusionerne i 'Global State of Information Security 2008'.
Sikkerhed er en fornemmelse
Det er dog ikke uden overvejelser, at man overlader sikkerheden til de nye spillere.
"En traditionel it-afdeling har ofte en højere grad af sikkerhed, end det kan se ud til på overfladen. Der er nemlig en fornemmelse for hvad, der sker i firmaet, og det er vigtigt," fortæller Martin Povelsen.
"Denne fornemmelse mistes, når driften lægges ud til en ekstern leverandør. Derfor får man ikke stillet de rigtige krav, når man outsourcer sin sikkerhed."
Den største udfordring er derfor at prioritere.
Den samme information kan gå fra at være uden betydning til at være stærkt kritisk over tid, afhængig af den kontekst, den indgår i.
Filmen knækker
Martin Povelsen forklarer det således:
"Lønoplysninger er eksempelvis mest kritiske i den periode, hvor der udbetales løn. Derfor kan det være nødvendigt med et højere sikkerhedsniveau fra den 25. til den 31. I den mellemliggende periode kan man så lægge informationerne lidt på hylden."
Der er netop her, at filmen ifølge PwC-rapporten knækker.
"Tre ud af fire firmaer har ikke gjort sig disse overvejelser. Derfor får de kun den basale sikkerhed hos samarbejdspartneren," siger Martin Povelsen.
"Virksomhederne skal finde ud af, hvornår data er kritiske, fortrolige eller skal være tilgængelige. Det skal den eksterne partner så forholde sig til."
Pengene bruges forkert
Det er ikke manglende lyst til at investere i sikkerhedssystemer, der er problemet.
74 procent af de adspurgte siger, at udgifterne til sikkerhed forbliver de samme eller vil vokse.
Det er virksomhedernes tilgang til området, der halter.
"I traditionelt it-sikkerhedsarbejde risikovurderer man en informationstype en gang for alle. Men det er sammenhængen, der er vigtig og derfor skal risikoen være dynamisk. Sikkerhedsniveauet for den samme type data kan ændres fra situation til situation," vurderer Martin Povelsen.
"Man bruger heller ikke et kæmpe søm, når man skal hænge et lille billede op på væggen. Man vælger et, der passer."
Rapporten hedder som nævnt
Global State of Information Security 2008, og den er udført af PricewaterhouseCoopers i samarbejde med CIO Magazine og CSO Magazine.
Resultaterne baserer sig på svar fra over 7.000 ledere inden for informationssikkerhed fra 199 lande. Den er udført i perioden 25. marts til 26. juni i år, og det er 6. gang den udføres.