11 ноября 2009 г.
По данным 12-го ежегодного международного исследования фирмы «Эрнст энд Янг» в области информационной безопасности за 2009 год, основными причинами, вызывающими обеспокоенность руководителей ИТ- служб, являются попытки мести со стороны уволенных сотрудников, а также недостаточный объем бюджета и ресурсов, выделяемых на нужды безопасности.В рамках исследования было опрошено более 1900 руководителей высшего звена, представляющих свыше 60 стран. По итогам опроса выяснилось, что 75% респондентов обеспокоены попытками мести со стороны сотрудников, недавно уволенных из их организаций. Кроме того, 42% респондентов уже пытаются получить представление о потенциальных рисках, связанных с этим вопросом, а 26% принимают меры по минимизации этих рисков.
Пол ван Кессел, руководитель практики Ernst & Young Global по оказанию услуг в области управления информационными технологиями (ИТ), ИТ-рисками и информационной безопасностью, отмечает: «Учитывая, что экономика по-прежнему находится в состоянии спада, сотрудники, подлежащие сокращению, могут затаить неприязнь по отношению к бывшему работодателю. В их распоряжении масса способов, позволяющих нарушить бесперебойное функционирование организации. Информационные системы таких работодателей все чаще становятся мишенью атак, кроме того, распространяются случаи хищения данных. Приоритетное значение имеют мероприятия по оценке конкретных рисков, направленные на выявление потенциально незащищенных участков и принятие адекватных ответных мер».
Поиск необходимого бюджета по-прежнему представляет собой непростую задачу
В 2009 году задача выделения бюджета на нужды информационной безопасности остается весьма непростой. 50% респондентов оценивают степень ее важности как высокую или значительную. Такой результат демонстрирует существенный рост (на 17%) по сравнению с прошлогодним показателем. Этот результат особенно важен в свете того, что 40% опрошенных планируют увеличить долю в суммарных расходах, направляемую на инвестиции в области информационной безопасности, а 52% намерены сохранить эти затраты на прежнем уровне.
Пол Ван Кессел продолжает: «Решение проблем информационной безопасности на современном этапе требует гораздо более существенного объема инвестиций, поскольку организации, задержавшись на старте, стремятся успеть как можно быстрее отреагировать на изменяющийся характер угроз. Вместе с тем область информационной безопасности не защищена от воздействия внешних экономических факторов, поэтому руководителям ИТ-служб необходимо повышать эффективность деятельности, сводя при этом расходы к минимуму».
Николай Самодаев, партнер компании «Эрнст энд Янг», руководитель отдела по оказанию услуг в области управления информационными технологиями (ИТ), ИТ-рисками и информационной безопасностью, отмечает: «В условиях оптимизации расходов и более жестких требований организаций в отношении повышения эффективности каждого из направлений деятельности, наиболее очевидным решением является применение риск-ориентированного подхода к вопросам управления информационной безопасностью».
Соблюдение нормативных требований
Исследование позволило выяснить, что вопросы соблюдения нормативных требований продолжают занимать важное место в перечне приоритетных задач руководителей отделов информационной безопасности, сохраняя свое значение как движущего фактора усовершенствований в данной области.
В ответ на вопрос о том, какую сумму их компании тратят на обеспечение соблюдения нормативных требований, 55% опрошенных указали, что затраты на эти цели привели к росту общих расходов на обеспечение информационной безопасности, при этом степень роста оценивается ими как умеренная или значительная. Лишь 6% респондентов планируют сократить затраты на обеспечение соблюдения нормативных требований в течение следующего года.
Пол Ван Кессел поясняет: «Нормативные требования, разработанные государственными и отраслевыми учреждениями, бесспорно, привели к тому, что организации начали более четко структурировать подходы к решению вопросов информационной безопасности. С одной стороны, это хорошо, потому что соблюдение таких требований заставляет организации улучшать принципы политики и процедуры информационной безопасности. С другой стороны, организации продолжают рассматривать соблюдение нормативных требований в качестве побочного продукта, а не важнейшего фактора обеспечения информационной безопасности».
Николай Самодаев продолжает: «Внедрение мер, направленных на соответствие нормативным требованиям (ФЗ № 152 «О персональных данных», Положение №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» и др.) сегодня является действительно горячей темой и одним из ключевых направлений информационной безопасности в России».
Использование технологий
Участившиеся случаи нарушения безопасности данных привели к тому, что их защита стала приоритетной задачей руководителей отделов информационной безопасности. Внедрение или совершенствование технологий по предотвращению утечки данных (DLP) занимает второе по важности место на ближайший год. Это направление указали в качестве одной из трех основных задач 40% респондентов. Предотвращение утечки данных представляет собой сочетание механизмов и процессов по выявлению, мониторингу и защите конфиденциальной информации.
Одним из наиболее поразительных результатов исследования стало ничтожно малое число компаний, которые шифруют данные в ноутбуках. В настоящее время такое шифрование выполняют лишь 41% опрошенных, и всего 17% планируют внедрить такую практику в следующем году. Этот факт вызывает удивление по ряду причин: растет количество случаев нарушений безопасности, произошедших из-за утери или хищения ноутбуков; соответствующая технология уже готова к внедрению по доступной цене; воздействие процесса шифрования на деятельность пользователей относительно мало и больше не должно служить препятствием.
Пол Ван Кессел заключает: «Наше исследование показывает, что уровни как внешних, так и внутренних рисков продолжают расти. Для управления рисками информационной безопасности необходим гибкий подход, который требует концентрации внимания на вопросах, имеющих первостепенное значение для компаний в области защиты критически важной информации. Организация, а в частности ее служба информационной безопасности, не сможет в полном смысле слова приступить к координации своих потребностей в области безопасности, не получив представления об использовании информации в рамках ключевых бизнес-процессов».
Об исследовании
Международное исследование «Эрнст энд Янг» в области информационной безопасности за 2009 год было проведено при содействии клиентов аудиторской и консультационной практики «Эрнст энд Янг» из более чем 60 стран. Опросы проводились в период с июня по август 2009 года. Результаты были преимущественно получены по итогам бесед с руководителями, представлявшими около 1900 компаний, которые ведут деятельность во всех основных секторах экономики.
Источник: Пресс-служба «Эрнст энд Янг»