Состояние информационной безопасности
Безопасность ИТ имеет решающее значение для любого бизнеса, но понятие это настолько всеобъемлющее, что получить представление о реальном положении дел в отрасли и перспективах развития на будущее очень сложно. Вот почему ежегодно издание CSO совместно с компанией PwC проводит опрос руководителей служб технической безопасности во всем мире, с тем чтобы понять какая ситуация сложилась на сегодняшний день.
Опрос «Глобальное состояние информационной безопасности в 2018 году» был проведен среди читателей CIO и CSO, а также клиентов PwC. Соответствующий отчет был составлен по итогам ответов более чем 9,5 тыс. генеральных и финансовых директоров, руководителей информационных служб, директоров по безопасности и информационной безопасности, вице-президентов, ИТ-директоров и специалистов по безопасности из 120 стран.
Результаты проведенного исследования дают ответы на следующие вопросы:
- Кто несет ответственность за безопасность?
- На что тратятся выделяемые средства и какие мероприятия планируются в этой сфере?
- Каковы существующие технологические тенденции, с которыми приходится сталкиваться специалистам по безопасности?
- Как отражается на безопасности взаимодействие различных организаций друг с другом?
Кто отвечает за безопасность?
Люди, возглавляющие направление информационной безопасности, как правило, входят в состав высшего руководства компаний. У 52% компаний, принимавших участие в опросе, имеется должность директора по информационной безопасности, а у 45% – директора по безопасности. Специалисты, занимающие эти должности, подчиняются обычно непосредственно главе организации. Только 24% находятся в подчинении у директора ИТ-службы; все же остальные подчиняются либо генеральному директору (40%), либо совету директоров (27%).
Но, когда мы начинаем спускаться по иерархической пирамиде ниже, ситуация становится более запутанной. Менее чем у половины компаний, принимавших участие в опросе, имеются специальные сотрудники, занимающиеся обеспечением безопасности внутренних бизнес-операций. Только 46% респондентов сообщили об объединении в их организациях вопросов информационной и физической безопасности, лишь у 43% в программу информационной безопасности включены функции конфиденциальности, а более четверти опрошенных не знают, какую позицию по этому поводу занимает их компания.
Ошибки планирования
Число компаний, разрабатывающих конкретные стратегии безопасности, оказалось не так уж велико. Лишь у 56% стратегия информационной безопасности была сформулирована в целом. Что же касается технологий безопасности в специфичных областях, здесь цифры еще хуже – доля не превышает 50%. Перечислим эти области:
- социальные медиа: 44%;
- большие данные: 44%;
- облачные вычисления: 46%;
- мобильные устройства: 47%.
Непосредственное участие в разработке стратегии безопасности в целом советы директоров принимают менее чем у половины компаний. До сих пор во многих организациях советы директоров не имеют никакого отношения к контролю за повседневными операциями.
Безопасность – процесс непрерывный
Многие из будничных, но жизненно необходимых мер безопасности включают в себя повторяющиеся меры – не слишком привлекательные, но зачастую очень важные для подготовки организации к защите от атак. В большом числе организаций такие меры не являются приоритетными, и только около половины опрошенных отметили, что их компании прилагают значительные усилия в этом отношении. Перечислим, каким мерам, имеющим отношение к безопасности, уделяется внимание:
- повышение уровня информированности: 52%;
- программа для выявления важных активов: 46%;
- оценка уязвимости: 46%;
- реакция в рамках управления инцидентами: 46%;
- тестирование на предмет возможностей проникновения: 42%.
Куда и почему уходят деньги?
Вопросы информационной безопасности в организациях зачастую считают поглотителями финансовых средств, далеко не всегда приносящими желаемую отдачу. Чем определяется выбор направлений затрат в компаниях, принимавших участие в нашем опросе? Приведем пару довольно интересных результатов:
- 49% опрошенных утверждают, что затраты на безопасность зависят исключительно от оценки рисков;
- 66% отметили, что в их организациях расходы определяются доходами каждого из направлений бизнеса.
Возникает вопрос: ведется ли в компаниях «борьба с пожарами» повсюду, где они появляются, или же защитить стремятся лишь наиболее ценные активы? Интересно также, какова степень распыления расходов между разобщенными активами. В любом случае высокотехнологичные операции нуждаются в защите: 59% опрошенных заявили, что после перевода экосистемы бизнеса на цифровые рельсы их компании стали инвестировать в безопасность больше.
Защита облака
Несмотря на то что только у 46% компаний имеется стратегия обеспечения безопасности облачных вычислений, переход в облако происходит, и происходит быстро. Уже сейчас 46% опрошенных утверждают, что большая часть ИТ-сервисов у них доставляется через облако, а 60% рассчитывают на то, что это произойдет в течение ближайших пяти лет. Если говорить о данных, то тут положение дел меняется еще быстрее: 40% уже хранят важные данные в различных облачных ресурсах, а 36% планируют проделать это в ближайшие год-полтора.
А теперь перейдем к использованию моделей облачных вычислений (учтите, что каждой из них присущи свои собственные проблемы, связанные с безопасностью):
- публичное облако: 34%;
- частное облако: 55%;
- гибридная модель: 29%.
Роботы и гаджеты
Роботы, устройства Интернета вещей и другие распределенные встроенные системы начинают из произведений научной фантастики перемещаться в реальный мир и нуждаются в защите. Некоторые компании уже внедряют у себя роботов, и их беспокойство в отношении угроз безопасности вполне обоснованно: 40% опасаются кибератак, которые могут привести к нарушению производственных процессов, а 22% говорят даже о потенциальной угрозе жизни людей.
Гаджеты Интернета вещей, наверное, не столь опасны для жизни, но это не может стать поводом для самоуспокоения. 67% компаний уже имеют или планируют стратегию в отношении Интернета вещей, но только 34% оценивают риски Интернета вещей для бизнеса. Кто конкретно отвечает за безопасность Интернета вещей? Ответы респондентов таковы: 29% указывают на директора по информационной безопасности, 20% – на инженерный персонал, а 17% называют ответственным директора по рискам.
Взаимодействие с другими организациями
В области безопасности всегда полезно знать о лучших достижениях отрасли, даже если для этого приходится поддерживать связь с конкурентами. Существуют официальные отраслевые объединения, помогающие получать необходимую информацию, и 37% компаний принимают участие в их работе. В целом 58% организаций так или иначе поддерживают связь с другими компаниями.
Какой информацией они готовы делиться? Здесь также существуют определенные градации, и результаты нашего опроса помогают понять, какие сведения организации считают полезными для себя:
- внутренняя информация об угрозах: 70%;
- тактики, технологии и процедуры нейтрализации угроз: 56%;
- внутренние инциденты в области безопасности: 55%;
- тактики реакции на инциденты: 44%;
- изучение угроз: 30%.
Приносит ли такая кооперация свои плоды? Только 37% опрошенных считают, что соответствующие усилия помогли им повысить уровень своей осведомленности об угрозах и способах эффективного противостояния им.
Внешние поставщики
ИТ становятся все более взаимозависимыми, особенно в свете передачи многих функций поставщикам облачных сервисов. В компаниях не обходят своим вниманием и возникающие при этом вопросы: 38% организаций ежегодно проводят оценку безопасности своих поставщиков, а 56% делают это дважды в год или даже чаще. Вместе с тем только 39% опрошенных считают себя «хорошо подготовленными» с точки зрения защиты важных данных в облаке или в среде независимых поставщиков.
Результаты опроса объясняют, почему им не хватает уверенности. Только 46% респондентов проводят аудит внешних поставщиков, позволяющий гарантировать защиту клиентских данных. И лишь 46% компаний требуют от поставщиков услуг соблюдения утвержденной политики конфиденциальности.
Драгоценные данные
Компании начинают понимать, что клиентские данные являются одним из самых ценных активов, а их утечка может привести к фатальным последствиям. К сожалению, лишь около половины организаций принимают меры для защиты этой информации:
- 53% компаний требуют от сотрудников изучения политики конфиденциальности и принятия мер по защите соответствующих данных;
- 49% ограничивают возможности сбора персональной информации, ее хранения и доступа к ней тем минимальным объемом, который необходим сотрудникам для выполнения их легитимных функций;
- 51% следят за процессом сбора, передачи и хранения персональных данных своими сотрудниками.
Тем не менее можно утверждать, что компании постепенно начинают осознавать приоритетность культуры защиты конфиденциальной информации: 67% опрошенных сообщили, что за соблюдением соответствующих правил следит директор по конфиденциальности или специальный сотрудник, а 12% планируют ввести у себя такую должность в течение ближайшего года.
– Josh Fruhlinger. Information security, 2018: What we have here is a failure to plan. CSO. October 18, 2017