Поделиться
ИТ-безопасность: никто не готов к новым угрозам
Компания Ernst&Young провела ежегодный глобальный опрос ИТ-руководителей о проблемах информационной безопасности. Как оказалось, пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире.Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005". В опросе приняли участие высшие исполнительные лица более 1,3 тыс. коммерческих и государственных организаций в 55 странах мира, включая Россию. Основную массу респондентов составили директора информационных служб (CIO) и отделов ИТ-безопасности (CSO). Наиболее общим и, пожалуй, самым значимым выводом из этого исследования явилось то, что пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире. Другими словами, риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по ИТ-безопасности не успевает адекватно отреагировать на них. Эксперты компании Ernst&Young посчитали эту тенденцию настолько важной, что даже включили слова "Отчет о расширяющейся пропасти" ("Report on Widening Gap") в название своего исследования.
Реальные риски и ИТ-безопасность
Как оказалось, все опрошенные организации, вне зависимости от их размера или географического положения, сталкиваются с одними и теми же четырьмя проблемами:Совместимость с нормативными актами. Число регулирующих документов постоянно растет, что приводит к несовместимости некоторых из них.
Взаимозависимость одних компаний от других. Вне зависимости от того, ведет ли компания международный бизнес, наличие постоянных информационных потоков между партнерами, поставщиками, клиентами, подрядчиками и т.д. заставляет одни предприятия полагаться на ИТ-безопасность других. Другими словами, компания должна быть уверена в том, что ее партнер сможет обеспечить должный уровень безопасности.
Использование самых новых технологий. Очевидно, что бизнес хочет быть более конкурентоспособным и производительным, а, следовательно, он постоянно ищет новые технологии, которые можно взять на вооружение. Однако инновации часто приносят новые риски, а специалисты ИТ-безопасности не всегда могут предложить адекватное решение.
Несоответствие между тактическими и стратегическими целями. Обеспечение ИТ-безопасности должно быть составной частью общей стратегии, но организации по-прежнему относятся к решению конкретных проблем безопасности, как к тактическим задачам, что приводит к росту расходов в долгосрочном периоде. Именно эти трудности обуславливают собой ту пропасть, о которой уже говорилось выше. По мнению аналитиков компании Ernst&Young, данные четыре проблемы способны поставить выживаемость компании под вопрос, в то время как решение этих задач способствует дальнейшему развитию бизнеса.Совместимость с нормативными актами
Проблема регулирования, согласно отчету "Global Information Security Survey 2005", впервые за все восемь лет проведения подобных исследований стала основной движущей силой в развитии ИТ-безопасности. Она обогнала даже такие популярные угрозы, как компьютерные черви и вирусы.
Хотя число вирусных инцидентов, наносимый ими ущерб, а также криминализация преступных сообществ в Интернете серьезно возросли в 2005 году, две трети респондентов посчитали именно совместимость с нормативными актами самым главным стимулом развития ИТ-безопасности на предприятиях. Это мнение становится еще более значимым в силу того, что примерно одна пятая всех респондентов вообще не представлена на жестко регулируемых рынках.
Источник: Ernst&Young
"Несмотря на такое повышенное внимание к регулированию, встает вопрос. А достигают ли нормативные акты своей цели? Да, но лишь частично. Дело в том, что бизнес, индустрия информационных продуктов и отрасль средств ИТ-безопасности упускают из виду, что такие законодательные инициативы как Акт Сарбаниса-Оксли и Восьмая Директива Евросоюза позволяют превратить безопасность в составную часть стратегии бизнеса и сэкономить на инвестициях", - считает Денис Зенкин, директор по маркетингу компании InfoWatch. Действительно, почти 90% респондентов, которые в данный момент заняты реализацией процессов ИТ-безопасности, чтобы удовлетворить требованиям нормативных актов к механизмам внутреннего контроля, фокусируются на создании или обновлении политик и процедур. Примерно три четверти из них проводят тренинги и обучающие мероприятия для персонала. Эти результаты отчетливо контрастируют с тем, что лишь 41% опрошенных руководителей используют положения законодательных актов, касающиеся средств внутреннего контроля, для того, чтобы перестроить функции ИТ-безопасности и внести изменения в архитектуру ИТ-безопасности.
Источник: Ernst&Young
Более того, когда респондентов попросили определить наиболее важные роли, которые ИТ-безопасность играет в бизнесе, в ответах наметился резкий дисбаланс. Далеко вперед вырвалась "совместимость с корпоративными политиками и процедурами". В пользу этой роли высказался 81% руководителей. Между тем, на оставшиеся роли, в основном связанные с бизнесом, пришлось значительно меньше.
Источник: Ernst&Young
Исследование "Global Information Security Survey 2005" позволило установить, что наибольшую заботу в контексте совместимости с нормативными актами компании проявляют по отношению к механизмам внутреннего контроля. Так, две трети респондентов указали, что именно эти процедуры оказывают самое большое влияние на бизнес сейчас и будут оказывать в ближайшие двенадцать месяцев. Следующим по влиятельности аспектом является приватность – о ней пекутся более 50% руководителей. Однако, как отмечают аналитики, в течение года интерес к вопросам приватности несколько снизится. Ожидается, что через 12 месяцев регулирование производственных или операционных рисков будет оказывать на бизнес более сильное влияние, чем заботы о приватности. Далее идут защита интеллектуальной собственности и отраслевое регулирование на четвертом и пятом местах соответственно. Следует отметить, что все эти аспекты связаны друг с другом тем, что во многом закреплены законодательно.
Источник: Ernst&Young
Таким образом, можно сделать вывод, что проблема обеспечения совместимости с нормативными актами не утратит своей остроты в ближайшие двенадцать месяцев. Более того, такие жесткие законы как Акт Сарбаниса-Оксли, 8-я Директива Евросоюза и Basel II усилят роль этой проблемы еще больше. При этом компьютерные вирусы и черви в течение года спустятся на пятое место среди основных стимулов развития системы ИТ-безопасности в компаниях.
Поделиться
Короткая ссылка
