Информационная безопасность (ИБ) — одна из самых «горячих» тем нынешнего года. Без сомнения, она сохранит свою актуальность и в ближайшие несколько лет.

Интерес к ИБ проявляют все игроки рынка, не остаются в стороне исследовательские и аналитические компании. Выпускаемые ими отчеты нередко имеют большую практическую ценность, поскольку охватывают различные аспекты сферы ИБ, что позволяет заинтересованным специалистам не только лучше сориентироваться в текущей ситуации, но и увидеть главные тенденции.

К их числу можно отнести и исследование Global Information Security Survey 2004, подготовленное компанией Ernst & Young. Ее специалисты, изучающие вопросы ИБ вот уже более 10 лет (первый отчет был выпущен в 1993 г.), пришли к удивительному выводу: за многие годы отношение людей к ИБ практически не изменилось. Большое число предприятий и организаций, как и прежде, полагается не столько на современные решения, сколько на удачу — несмотря на то, что степень опасности многократно возросла.

Эксперты Ernst & Young указывают на следующие важные проблемы, связанные с обеспечением ИБ:

  • «искушение судьбы»;
  • пренебрежение человеческим фактором;
  • недооценка внутренних угроз;
  • корпоративная культура и приоритеты руководства.

«Искушение судьбы»

С развитием бизнеса число партнеров у компаний увеличивается, взаимодействие между фирмами становится все более тесным. Как следствие, растет их взаимозависимость с точки зрения ИБ — поведение одного игрока может иметь самые серьезные последствия для других. Но похоже, что многие руководители не понимают этого. Топ-менеджеры скорее доверчивы, нежели предусмотрительны. Они считают, увы, нередко ошибочно, что их организация вполне защищена, тогда как в действительности немалые инвестиции в технологии ИБ сводятся на нет многочисленными организационными изъянами. Например, 80% компаний не оценивали, соответствуют ли их подрядчики требованиям, принятым у организации-заказчика, а 70% компаний не проводили оценку соответствия ИТ-подрядчиков политикам ИБ головной организации.

Понятно, что реальная эффективность системы ИБ определяется самым слабым звеном. Если один из партнеров использует устаревшую систему управления идентификацией, другой никогда не тестировал план аварийного восстановления, а третий не проводит регулярную оценку соответствия своих ИТ-подрядчиков политикам ИБ, то ваш собственный уровень защищенности никак не может быть выше нижней точки, достигнутой этими организациями.

Пренебрежение человеческим фактором

Никакая сумма технологий не способна исключить человеческий фактор. Высшее руководство заявляет, что ИБ важна, но разрыв между количеством ресурсов, выделяемых для повышения степени защищенности предприятия, и уровнем понимания проблем «техники безопасности» и обученности персонала практически не сокращается.

Как утверждают эксперты Ernst & Young, необходимо приложить еще очень много усилий для того, чтобы превратить людей в самый непробиваемый уровень защиты организации. Исследование показало, что, во-первых, руководство компаний не спешит присваивать человеческому ресурсу самый высокий приоритет, но с готовностью идет на покупку технологий, и, во-вторых, менее половины опрошенных фирм проводит обучение служащих по вопросам, связанным с обеспечением ИБ.

Недооценка внутренних угроз

В то время как многие предприятия, похоже, ожидают угроз извне, таких, как вирусы, более вероятными и самыми опасными являются угрозы, исходящие изнутри. То обстоятельство, что внутренние посягательства на ИБ предприятий редко находят отражение в СМИ, еще не означает, что данной проблемы не существует. Как раз наоборот: в случае обнаружения внутренних угроз компании предпочитают об этом не говорить, либо, что еще хуже, действия злоумышленников остаются нераскрытыми. Специалисты Ernst & Young установили, что «преступное или халатное поведение служащих в отношении ИС» названо — с большим отставанием — второй главной проблемой после «злостного вируса, троянского коня или сетевых червей». Лишь около 30% опрошенных назвали повышение уровня подготовки и осведомленности служащих в области ИБ основной задачей в 2004 г.

Корпоративная культура и приоритеты руководства

Есть все основания полагать, что атаки (особенно внутренние) на информационные ресурсы предприятий будут множиться, если руководители высшего звена не возведут ИБ в ранг корпоративной культуры и не назовут защиту данных приоритетной задачей для менеджеров различных уровней. Такой подход важнее любой другой инициативы в области ИБ, поскольку он сверху задает общий тон и будет определять отношение к ИБ всех служб и подразделений. Стоит этим пренебречь, и вы открываете дверь любым бедам. Реальность такова: почти 70% респондентов сообщили, что их совет директоров не получает ежеквартальный отчет о состоянии ИБ в организации; менее 20% опрошенных заявили, что ИБ считается приоритетным вопросом для руководства компании.

Куда уходят деньги?

Несколько лет назад лишь немногие организации сообщали аналитикам о том, что делают крупные инвестиции в ИБ. Большинство расходов носило «тактический» характер или было ответом на конкретную угрозу. Но в последнее время регулятивные требования правительства подталкивают компании вкладывать деньги в защиту своих систем. Исследование Ernst & Young подтверждает, что организации выделяют больше сил и ресурсов на удовлетворение этих требований. Ожидается, что эта тенденция сохранится и в будущем.

Руководители фирм постоянно спрашивают, не тратят ли они слишком мало или слишком много. Но даже ответив на этот вопрос, невозможно понять истинное положение дел. Не менее важно знать, какие продукты и решения закупаются. Эксперты Ernst & Young считают, что компаниям следует приложить больше сил и найти дополнительные ресурсы для того, чтобы сформировать корпоративную культуру ИБ, в которой тон будет задаваться сверху. Другой важной сферой приложения сил должно стать совершенствование системы мониторинга корпоративной структуры.

Некоторые компании, похоже, слишком зациклены на внешних угрозах. Вирусы, к примеру, представляют собой реальную опасность, но, как показывают результаты исследования, в техническом плане фирмы хорошо подготовлены к защите от вредоносных программ. Однако даже самая лучшая технология ничего не стоит, если кто-то из сотрудников решит проигнорировать правила. Как гласит одно из многочисленных следствий из закона Мерфи: «Невозможно сделать что-либо защищенным «от дурака», ведь дураки так изобретательны».

Год назад эксперты Ernst & Young сделали вывод, что слишком много денег тратится на технологии и слишком мало — на организационные вопросы и подготовку персонала. Сегодня это верно как никогда.

Пять главных инициатив

  • Внедрение политик ИБ
  • Расширение программы аварийного восстановления ИТ
  • Повышение защищенности сети
  • Согласование стратегии безопасности с целями и задачами бизнеса
  • Усиление мер по обеспечению бесперебойности бизнеса

Насколько важна ИБ для вашего бизнеса

Очень важнаВажна в определенной степениЗатрудняюсь ответитьНе важна
2003 г.56%34%6%5%
2004 г.67%26%4%3%

Подготовил Константин Геращенко