По данным отчета, озаглавленного «Глобальное исследование информационной безопасности, 2012 год», который был опубликован компанией «Эрнст энд Янг», для защиты от угроз, исходящих от существующих и новых технологий, организациям необходимо коренным образом изменить подход к обеспечению информационной безопасности. Данный отчет — уже пятнадцатый по счету — представляет собой одно из наиболее полных отраслевых исследований, основанное на ответах более чем 1850 руководителей информационно-технологических подразделений и подразделений по обеспечению информационной безопасности, а также других руководящих работников в области ИТ и информационной безопасности из 64 стран.
Организации постепенно наращивают свой потенциал в решении краткосрочных задач, связанных с обеспечением информационной безопасности, но при этом не уделяют внимания проблемам, решение которых представляется необходимым для снижения угрозы информационной безопасности в целом. Сегодня как никогда ранее ощущается потребность в создании надёжной архитектуры безопасности: 31% респондентов отметили увеличение числа случаев нарушения безопасности в течение последних двух лет. Тем не менее, в 63% организаций такая архитектура не создана, и лишь 16% респондентов считают, что их система информационной безопасности полностью отвечает потребностям организации.
Руководитель глобальной практики «Эрнст энд Янг» по оказанию услуг в области управления ИТ и информационными рисками Пол ван Кессель так прокомментировал результаты исследования: «Руководители ИТ должны принять в качестве новой аксиомы утверждение о том, что обычная оперативность уже недостаточна. Скорость и сложность изменений растёт колоссальными темпами. И без того непростая ситуация в сфере информационной безопасности осложняется влиянием развивающихся рынков, продолжающейся нестабильностью в экономике, оффшорной деятельности и ужесточением нормативных требований».
В организациях есть понимание того, сама природа и характер рисков меняются, а вместе с увеличением роста частоты появления угроз информационной растет и количество нарушений и инцидентов информационной безопасности. Более трех четвертей (77%) респондентов подтвердили повышение риска внешних атак, однако последние не являются единственным источником беспокойства для глобальных организаций: 46% респондентов отмечают, что внутренние уязвимости также растут.
Новые технологии не только открывают перед компаниями невиданные возможности, но и подвергают их потенциальным угрозам из неизвестных ранее источников. Облачные компьютерные технологии по-прежнему являются главным источником инноваций в современной деловой среде: за последние два года количество организаций, использующих облачные вычисления, увеличилось почти вдвое. Тем не менее, 38% организаций не приняли никаких мер по снижению рисков, в частности не обеспечили более строгого надзора за управлением контрактами с провайдерами услуг по облачной обработке данных или применение методов шифрования.
Еще одной новой технологией, заслуживающей внимания, являются мобильные устройства для работы в Интернете, технологическое совершенство которых — и связанные с ними преимущества для бизнеса — обеспечили стремительный рост их популярности.
«Сорок четыре процента организаций в настоящее время разрешают использовать корпоративные или личные планшеты (аналогичный показатель за 2001 год составил 20%), с помощью которых сотрудники отправляют и получают значительные объемы информации, что существенно осложняет контроль», — считает Пол Ван Кессель.
Организации признают, что мобильным технологиям необходимо уделять более пристальное внимание. При этом средства обеспечения безопасности и специальное программное обеспечение по-прежнему довольно редко применяются на динамичном рынке мобильных компьютеров — лишь 40% организаций используют тот или иной способ шифрования данных на мобильных устройствах.
Организации отвечают на рост рисков и увеличение числа технологий, подлежащих защите, увеличением бюджетов и изменением приоритетов. Пятьдесят один процент организаций сообщили, что в следующем году планируют увеличить бюджет на 5%. Тридцать два процента респондентов вложили в развитие информационной безопасности более 1 миллиона долларов США, однако объем инвестиций существенно отличается в зависимости от региона: 48% американских компаний потратили на информационную безопасность более 1 миллиона долларов США, в то время как в Азиатско-Тихоокеанском регионе, странах Европы, Ближнего Востока, Африки и в Индии (EMEIA) доля таких компаний составила 35% и 26% соответственно. Что касается распределения бюджета, то главными статьями расходов являются получение новых технологий (55%) и обеспечение непрерывности бизнеса (47%).
Планируемое увеличение бюджета окажется эффективным только в случае надлежащего распределения обязанностей в рамках процессов принятия решений. Во многих организациях обеспечением информационной безопасности по-прежнему занимаются информационно-технологические отделы: 63% респондентов сообщили, что ответственность за информационную безопасность в их организациях лежит на специалистах в области информационных технологий.
Поскольку обеспечение информационной безопасности начинает выходить за рамки традиционных областей информационных технологий, в настоящее время необходимо принимать решения о выборе инструментов, процессов и методов мониторинга угроз, оценке эффективности работы, поиске пробелов в системе безопасности, что и определяет необходимость перераспределения ответственности.
Сейчас лишь в 5% компаний обеспечение информационной безопасности относится к компетенции руководителя подразделения по управлению рисками. Во многих организациях службы управления рисками не обеспечили наличие формализованного механизма оценки рисков. Как следствие, 52% компаний не располагают программами анализа и сбора данных об угрозах. Увеличение числа угроз и увеличение разрыва между уровнями уязвимости и защищенности требует использования нескольких источников и (или) функций оценки состояния информационной безопасности, включая внутренний аудит, внутреннюю самооценку и оценки третьих сторон.
«При принятии решений некоторые организации учитывают вопросы доступности квалифицированных кадров, уровня зрелости процессов обеспечения информационной безопасности, бюджета, но эти очевидные вопросы, как и многочисленные обходные решения, позволяющие удовлетворить потребности информационной безопасности в краткосрочной перспективе, скрывают более серьезную проблему информационно-технологической уязвимости», — подытожил Пол Ван Кессель.
«Практика работы организаций России и СНГ в целом не отличается в лучшую сторону от общей полученной картины — добавляет Николай Самодаев, руководитель направления «Управление ИТ и ИТ-рисками» в России и СНГ. — Мы видим, что компании в основном проводят реактивные действия на те, или иные инциденты; различные подразделения, которые, в рамках одной организации, так или иначе занимаются вопросами оценки и управления ИТ и информационной безопасностью, действуют зачастую разобщено и лоскутно покрывают лишь явно видимые проблемы; информационные системы вроде и контролируются, но далеко не все, которые следует. В итоге получается как по Райкину — пуговицы пришиты отлично, карманы на месте, но костюм при этом «какой-то не такой».
Относительно перспектив Пол Ван Кессель отметил следующее: «Нам удалось выявить несколько современных проблем, но на горизонте возникают новые, среди которых усиление роли государственных органов и ужесточение регулятивных требований. Если в ближайшее время организации не примут мер по разработке всеобъемлющей системы безопасности, последствия современных и будущих проблем лишь добавят угроз информационной безопасности в будущем».