Контакты
Подписка
МЕНЮ
Контакты
Подписка

Результаты международного исследования в области информационной безопасности

В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Результаты международного исследования в области информационной безопасности

Исследование подтверждает скорость адаптации мобильных технологий к использованию в корпоративном сегменте: 80% респондентов уже приняли решение или рассматривают возможность использования планшетных компьютеров в компаниях
Сергей
Колосков
CISA, CRISC, старший менеджер компании Ernst & Young
Андрей
Абашев
CISA, старший консультант компании Ernst & Young

Уместить весь отчет по результатам исследования в одну статью – довольно трудоемкая задача. Поэтому мы приведем краткое описание областей, касающихся построения стратегии управления информационной безопасностью в отношении мобильных технологий, управления рисками, а также вопросов бюджетирования.

Мобильные устройства

Из-за беспрецедентного роста популярности мобильных технологий (ноутбуков, смартфонов и планшетных компьютеров) компаниям приходится обеспечивать их интеграцию со своими информационными системами, успевать в относительно сжатые сроки идентифицировать риски, связанные с использованием подобных технологий, а также разрабатывать эффективную стратегию управления данными рисками.

Второй год подряд респонденты определили непрерывность бизнеса как приоритетную статью финансирования

Исследование показало, что основными методами снижения уровня рисков, связанных с использованием мобильных технологий, являются обновление политики информационной безопасности и активное обучение собственного персонала вопросам разработки и адаптации стандартных методов и средств обеспечения ИБ с прицелом на мобильные платформы.


Однако хочется отметить тот факт, что на данный момент на рынке не отмечается внушительного роста мобильных программных продуктов. Так, например, технологии криптографической защиты в мобильных устройствах используются менее чем в половине (47%) опрошенных компаний.

Управление рисками

Тенденции развития технологий указывают на тот факт, что компании все больше следуют правилам "оцифровывания" бизнеса, что позволяет им хранить информацию в облаке, отрицая все возможные границы, что, в свою очередь, вызывает опасения у большей части респондентов, так как при этом понадобится больше усилий для минимизации новых рисков.


72% респондентов считают, что увеличение уровня рисков связано прежде всего с увеличением количества внешних угроз, а 46% отметили увеличение числа угроз внутри собственной организации.

Исследование "Эрнст энд Янг", посвященное вопросам информационной безопасности, проходит ежегодно (уже в четырнадцатый раз). Исследования, проводимые компанией "Эрнст энд Янг", являются одними из наиболее узнаваемых и уважаемых среди крупных компаний во всем мире. За последние годы данные исследования позволили сосредоточить наше внимание на наиболее важных рисках и тенденциях и узнать свои сильные и слабые стороны, а также обратить внимание на используемые подходы в вопросах управления информационной безопасностью и выбрать для себя наиболее приемлемые решения

В то же время только треть респондентов внесла необходимые корректировки в собственную стратегию информационной безопасности для своевременного реагирования на эти угрозы.

Стратегия информационной безопасности

Залогом успеха и в то же время ключевой движущей силой успешного перехода на облачные вычисления остается информационная безопасность. 59% опрошенных респондентов планируют увеличить свой бюджет на информационную безопасность в течение следующих 12 месяцев.


При этом только у 52% респондентов присутствует задокументированная стратегия информационной безопасности. Данные показатели – неограниченность, ИТ-сервисы в облаке и "оцифровывание" бизнеса – требуют выработки продуманной стратегии и аккуратных действий. Специальные решения, которые могли быть полезны в прошлых практиках, не являются рациональным решением в будущем. Следует понимать, что банальное увеличение бюджета без наличия грамотно проработанной стратегии не обеспечит должной защиты данных.

В рамках исследования респонденты ответили на широкий круг вопросов, касающихся использования облачных вычислений и обеспечения безопасности данных. Были опрошены свыше 1700 менеджеров, вовлеченных в управление информационной безопасностью, из более чем 50 стран мира. Исследование охватило все основные сферы бизнеса. Наибольшая часть респондентов – представители финансового сектора (28%), индустриальных (16%) и телекоммуникационных (4%) компаний. Кроме того, в исследовании участвовали представители энергетических компаний, нефтяной и химической отраслей, некоммерческих организаций, а также представители сектора розничных продаж. Опрос проводился как методом интервьюирования, так и с помощью заполнения анкеты на специализированном Интернет-сайте


Исследование показывает, что не все компании имеют в достаточной мере проработанную стратегию информационной безопасности: только 12% респондентов поднимают вопросы информационной безопасности на каждом заседании совета директоров, и менее половины опрошенных (49%) респондентов отмечают, что функции информационной безопасности отвечают требованиям их организации.

Наиболее интересные результаты исследования

31%

отметили, что закупаемые решения по информационной безопасности не в полной мере соответствуют начальным требованиям

49% отметили, что используемые функции информационной безопасности удовлетворяют требованиям их организации
56% утверждают, что собственная стратегия по информационной безопасности требует изменений или дополнительного изучения
57%

отметили, что внесли необходимые поправки в свою политику информационной безопасности, связанные с использованием мобильных устройств

61% уже приняли решение или рассматривают возможность использования сервисов на базе облачных вычислений в ближайшие 12 месяцев
66% не внедрили средства предотвращения потери данных
84% отметили, что используют или собираются использовать программу по управлению IT-рисками в ближайшие 12 месяцев
90% убеждены в том, что внешняя сертификация повысит уровень доверия к облачным вычислениям

До тех пор пока информационная безопасность не станет частью предоставляемых сервисов, продуктов и частью общей стратегии компании, она не будет восприниматься как движущий фактор повышения показателей бизнеса.


Рекомендации

По результатам исследования были сформулированы рекомендации, направленные на улучшение уровня управления информационной безопасностью в разрезе использования мобильных технологий и, как вариант, передачи данных компании в облако (безусловно, важность и приоритеты выполнения рекомендаций в значительной мере зависят от специфики и структуры бизнеса конкретной организации):

  • Перенести информационную безопасность в область стратегического управления бизнесом.
  • Применять интегрированный подход к управлению рисками.
  • Уделить особое внимание рискам, связанным с использованием мобильных технологий и облачных сервисов.
  • Поднять интерес представителей высшего руководства к вопросам управления информационной безопасностью.
  • Сфокусировать внимание на повышении эффективности обучающих программ и программ по улучшению осведомленности пользователей в вопросах обеспечения информационной безопасности.
  • Определить требования по информационной безопасности и способы их контроля при взаимодействии с провайдерами облачных сервисов.
  • Обозначить стратегию использования мобильных технологий, определить процедуру управления мобильными устройствами и связанными с ними приложениями, разработать и внедрить систему внутреннего контроля, нацеленного на минимизацию рисков и угроз, связанных как с использованием мобильных технологий, так и с процессами перехода на облачные вычисления.

Опубликовано: Каталог "Системы безопасности"-2012
Посещений: 8409

  Автор

Сергей Колосков

Сергей Колосков

CISA, CRISC, старший менеджер компании Ernst & Young

Всего статей:  1

  Автор

Андрей Абашев

Андрей Абашев

CISA, старший консультант компании Ernst & Young

Всего статей:  1

В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик  |  К списку авторов  |  К списку публикаций