Поделиться
ИТ-безопасность: никто не готов к новым угрозам
Компания Ernst&Young провела ежегодный глобальный опрос ИТ-руководителей о проблемах информационной безопасности. Как оказалось, пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире.Важным вопросом является проблема коммуникаций в организации. Например, опрошенные лица заявили, что очень редко встречаются с высшими исполнительными лицами или советом директоров, чтобы обсудить цели компании и нужды ИТ-безопасности. 40% руководителей встречаются с советом директоров и комитетами по аудиту реже одного раза в год, если вообще встречаются. Вдобавок, 44% респондентов по такому же расписанию встречаются со специалистами своих юридических отделов.
Источник: Ernst&Young
"В решение стратегических вопросов ИТ-безопасности должны быть вовлечены самые высшие исполнительные лица и совет директоров, так как сама по себе ИТ-безопасность вносит существенный вклад в производительность компании. Так, специалистам по безопасности необходимы не только указания руководства, но и его поддержка, чтобы обеспечить высокий приоритет инициативам ИТ-безопасности. При этом сам топ-менеджмент заинтересован в таких отношениях еще больше: ведь принимаемые на самом верху решения зависят как раз от достоверности и надежности предоставленной информации. Не стоит забывать и о нормативных актах, напрямую связывающих генеральных и финансовых директоров с процедурами внутреннего контроля, которые имеют много общего с процессами ИТ-безопасности. Таким образом, только эффективное общение между руководителями отделов безопасности и директорами компании позволяет наилучшим способом управлять рисками", - считает Денис Зенкин.
"Не менее важной, чем процессы коммуникации, является регулярная отчетность о проектах и инцидентах ИТ-безопасности, а также о процессах обеспечения совместимости с нормативными актами. Руководители отделов ИТ-безопасности должны отчитываться перед советом директоров и главами коммерческих отделов. Последние же руководители, не связанные напрямую с безопасностью, должны использовать эти отчеты, чтобы лучше понять, как процессы безопасности соотносятся с целями организации и нормативными актами", - добавляет он.
Исследование показало, что наиболее часто отчеты составляются о проектах. При этом они сопровождают запрос на увеличение инвестиций или бухгалтерский документ о расходе средств по проекту. Однако лишь немногим больше половины респондентов хотя бы раз в году доносят свои отчеты до совета директоров или глав коммерческих отделов. Остальные либо вообще не утруждают себя составлением отчетов, либо делают это реже раза в год. Что касается отчетов по процессам совместимости или инцидентам, то они встречаются еще реже. Более половины респондентов информируют по этим вопросам совет директоров и руководителей коммерческих департаментов еще реже, чем ежегодно (если вообще информируют).
| Школа ИТ CNews проводит новые авторские курсы "Создание и эксплуатация Комплексной Системы обеспечения Информационной безопасности предприятия." |
Источник: Ernst&Young
Если говорить о тренингах и обучающих программах, то две трети респондентов проводят брифинги с исполнительными лицами организации, в ходе которых обсуждаются вопросы влияния аспектов ИТ-безопасности на организацию. Однако количество исполнительных лиц, обучаемых в ходе таких встреч тому, как реагировать на инциденты, значительно меньше – одна треть. Естественно, что многие руководители просто не могут адекватно оценить важность политик и процедур безопасности для организации. Что касается других групп обучаемых, то здесь уровень тренингов еще ниже. Менее половины организаций считают, что им необходимы тренинги по вопросам влияния ИТ-безопасности на организацию, и еще меньшая доля приходится на вопросы того, как реагировать на инциденты. Между тем, персональная ответственность каждого сотрудника постоянно растет, этому способствуют новые, в том числе мобильные, технологии. Так что руководству следует осторожнее подходить к тому, насколько образованны их подчиненные.
Источник: Ernst&Young
Чрезвычайно важным вопросом являются процессы сертификации и стандартизации. Именно к ним проявили особый интерес респонденты. Сегодня организации ищут способы реализовать тот или иной стандарт, чтобы обеспечить необходимую базу для процедур ИТ-безопасности и совместить задачи ИТ-безопасности со стратегическими целями компании. Согласно результатам опроса, требования стандартов по ИТ-безопасности возрастут в ближайшие двенадцать месяцев, что является свидетельством того, что организации все серьезнее относятся к самой сертификации и все выше ее ценят.
Источник: Ernst&Young
25% респондентов используют ISO 17799, еще 30% планируют обеспечить совместимость с этим стандартом. Также растет использование FTIL, хотя ИТ-безопасность не занимает центрального места в этом стандарте. Уже 25% респондентов удовлетворяют требованиям FTIL, и еще 22% планируют сделать это. Такая позитивная тенденция вызвана, прежде всего, тем, что организации понимают: реализация стандарта ИТ-безопасности повышает привлекательность компании в глазах клиентов и заказчиков. Две трети респондентов указали именно на это преимущество процесса сертификации.
Поделиться
Короткая ссылка
