Вестник цифровой трансформации

Информационная безопасность – 2018: что происходит сегодня, связано с ошибками планирования
Информационная безопасность – 2018: что происходит сегодня, связано с ошибками планирования




14:06 17.01.2018  |  Джош Фрулингер | 14112 просмотров



Информационная безопасность играет для предприятий все более весомую роль, но многим компаниям по-прежнему нелегко дается разработка необходимых планов.

Состояние информационной безопасности

Безопасность ИТ имеет решающее значение для любого бизнеса, но понятие это настолько всеобъемлющее, что получить представление о реальном положении дел в отрасли и перспективах развития на будущее очень сложно. Вот почему ежегодно издание CSO совместно с компанией PwC проводит опрос руководителей служб технической безопасности во всем мире, с тем чтобы понять какая ситуация сложилась на сегодняшний день.

Опрос «Глобальное состояние информационной безопасности в 2018 году» был проведен среди читателей CIO и CSO, а также клиентов PwC. Соответствующий отчет был составлен по итогам ответов более чем 9,5 тыс. генеральных и финансовых директоров, руководителей информационных служб, директоров по безопасности и информационной безопасности, вице-президентов, ИТ-директоров и специалистов по безопасности из 120 стран.

Результаты проведенного исследования дают ответы на следующие вопросы:

  • Кто несет ответственность за безопасность?
  • На что тратятся выделяемые средства и какие мероприятия планируются в этой сфере?
  • Каковы существующие технологические тенденции, с которыми приходится сталкиваться специалистам по безопасности?
  • Как отражается на безопасности взаимодействие различных организаций друг с другом?

Кто отвечает за безопасность?

Люди, возглавляющие направление информационной безопасности, как правило, входят в состав высшего руководства компаний. У 52% компаний, принимавших участие в опросе, имеется должность директора по информационной безопасности, а у 45% – директора по безопасности. Специалисты, занимающие эти должности, подчиняются обычно непосредственно главе организации. Только 24% находятся в подчинении у директора ИТ-службы; все же остальные подчиняются либо генеральному директору (40%), либо совету директоров (27%).

Но, когда мы начинаем спускаться по иерархической пирамиде ниже, ситуация становится более запутанной. Менее чем у половины компаний, принимавших участие в опросе, имеются специальные сотрудники, занимающиеся обеспечением безопасности внутренних бизнес-операций. Только 46% респондентов сообщили об объединении в их организациях вопросов информационной и физической безопасности, лишь у 43% в программу информационной безопасности включены функции конфиденциальности, а более четверти опрошенных не знают, какую позицию по этому поводу занимает их компания.

Ошибки планирования

Число компаний, разрабатывающих конкретные стратегии безопасности, оказалось не так уж велико. Лишь у 56% стратегия информационной безопасности была сформулирована в целом. Что же касается технологий безопасности в специфичных областях, здесь цифры еще хуже – доля не превышает 50%. Перечислим эти области:

  • социальные медиа: 44%;
  • большие данные: 44%;
  • облачные вычисления: 46%;
  • мобильные устройства: 47%.

Непосредственное участие в разработке стратегии безопасности в целом советы директоров принимают менее чем у половины компаний. До сих пор во многих организациях советы директоров не имеют никакого отношения к контролю за повседневными операциями.

Безопасность – процесс непрерывный

Многие из будничных, но жизненно необходимых мер безопасности включают в себя повторяющиеся меры – не слишком привлекательные, но зачастую очень важные для подготовки организации к защите от атак. В большом числе организаций такие меры не являются приоритетными, и только около половины опрошенных отметили, что их компании прилагают значительные усилия в этом отношении. Перечислим, каким мерам, имеющим отношение к безопасности, уделяется внимание:

  • повышение уровня информированности: 52%;
  • программа для выявления важных активов: 46%;
  • оценка уязвимости: 46%;
  • реакция в рамках управления инцидентами: 46%;
  • тестирование на предмет возможностей проникновения: 42%.

Куда и почему уходят деньги?

Вопросы информационной безопасности в организациях зачастую считают поглотителями финансовых средств, далеко не всегда приносящими желаемую отдачу. Чем определяется выбор направлений затрат в компаниях, принимавших участие в нашем опросе? Приведем пару довольно интересных результатов:

  • 49% опрошенных утверждают, что затраты на безопасность зависят исключительно от оценки рисков; Информационная безопасность – 2018: что происходит сегодня, связано с ошибками планирования
  • 66% отметили, что в их организациях расходы определяются доходами каждого из направлений бизнеса.

Возникает вопрос: ведется ли в компаниях «борьба с пожарами» повсюду, где они появляются, или же защитить стремятся лишь наиболее ценные активы? Интересно также, какова степень распыления расходов между разобщенными активами. В любом случае высокотехнологичные операции нуждаются в защите: 59% опрошенных заявили, что после перевода экосистемы бизнеса на цифровые рельсы их компании стали инвестировать в безопасность больше.

Защита облака

Несмотря на то что только у 46% компаний имеется стратегия обеспечения безопасности облачных вычислений, переход в облако происходит, и происходит быстро. Уже сейчас 46% опрошенных утверждают, что большая часть ИТ-сервисов у них доставляется через облако, а 60% рассчитывают на то, что это произойдет в течение ближайших пяти лет. Если говорить о данных, то тут положение дел меняется еще быстрее: 40% уже хранят важные данные в различных облачных ресурсах, а 36% планируют проделать это в ближайшие год-полтора.

А теперь перейдем к использованию моделей облачных вычислений (учтите, что каждой из них присущи свои собственные проблемы, связанные с безопасностью):

  • публичное облако: 34%;
  • частное облако: 55%;
  • гибридная модель: 29%.

Роботы и гаджеты

Информационная безопасность – 2018: что происходит сегодня, связано с ошибками планированияРоботы, устройства Интернета вещей и другие распределенные встроенные системы начинают из произведений научной фантастики перемещаться в реальный мир и нуждаются в защите. Некоторые компании уже внедряют у себя роботов, и их беспокойство в отношении угроз безопасности вполне обоснованно: 40% опасаются кибератак, которые могут привести к нарушению производственных процессов, а 22% говорят даже о потенциальной угрозе жизни людей.

Гаджеты Интернета вещей, наверное, не столь опасны для жизни, но это не может стать поводом для самоуспокоения. 67% компаний уже имеют или планируют стратегию в отношении Интернета вещей, но только 34% оценивают риски Интернета вещей для бизнеса. Кто конкретно отвечает за безопасность Интернета вещей? Ответы респондентов таковы: 29% указывают на директора по информационной безопасности, 20% – на инженерный персонал, а 17% называют ответственным директора по рискам.

Взаимодействие с другими организациями

В области безопасности всегда полезно знать о лучших достижениях отрасли, даже если для этого приходится поддерживать связь с конкурентами. Существуют официальные Информационная безопасность – 2018: что происходит сегодня, связано с ошибками планированияотраслевые объединения, помогающие получать необходимую информацию, и 37% компаний принимают участие в их работе. В целом 58% организаций так или иначе поддерживают связь с другими компаниями.

Какой информацией они готовы делиться? Здесь также существуют определенные градации, и результаты нашего опроса помогают понять, какие сведения организации считают полезными для себя:

  • внутренняя информация об угрозах: 70%;
  • тактики, технологии и процедуры нейтрализации угроз: 56%;
  • внутренние инциденты в области безопасности: 55%;
  • тактики реакции на инциденты: 44%;
  • изучение угроз: 30%.

Приносит ли такая кооперация свои плоды? Только 37% опрошенных считают, что соответствующие усилия помогли им повысить уровень своей осведомленности об угрозах и способах эффективного противостояния им.

Внешние поставщики

Информационная безопасность – 2018: что происходит сегодня, связано с ошибками планированияИТ становятся все более взаимозависимыми, особенно в свете передачи многих функций поставщикам облачных сервисов. В компаниях не обходят своим вниманием и возникающие при этом вопросы: 38% организаций ежегодно проводят оценку безопасности своих поставщиков, а 56% делают это дважды в год или даже чаще. Вместе с тем только 39% опрошенных считают себя «хорошо подготовленными» с точки зрения защиты важных данных в облаке или в среде независимых поставщиков.

Результаты опроса объясняют, почему им не хватает уверенности. Только 46% респондентов проводят аудит внешних поставщиков, позволяющий гарантировать защиту клиентских данных. И лишь 46% компаний требуют от поставщиков услуг соблюдения утвержденной политики конфиденциальности.

Драгоценные данные

Компании начинают понимать, что клиентские данные являются одним из самых ценных активов, а их утечка может привести к фатальным последствиям. К сожалению, лишь около половины организаций принимают меры для защиты этой информации:

  • 53% компаний требуют от сотрудников изучения политики конфиденциальности и принятия мер по защите соответствующих данных;
  • 49% ограничивают возможности сбора персональной информации, ее хранения и доступа к ней тем минимальным объемом, который необходим сотрудникам для выполнения их легитимных функций;
  • 51% следят за процессом сбора, передачи и хранения персональных данных своими сотрудниками.

Тем не менее можно утверждать, что компании постепенно начинают осознавать приоритетность культуры защиты конфиденциальной информации: 67% опрошенных сообщили, что за соблюдением соответствующих правил следит директор по конфиденциальности или специальный сотрудник, а 12% планируют ввести у себя такую должность в течение ближайшего года.

– Josh Fruhlinger. Information security, 2018: What we have here is a failure to plan. CSO. October 18, 2017

Теги: Автоматизация предприятий Информационная безопасность CSO

На ту же тему: