В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик | К списку авторов | К списку публикаций

Результаты международного исследования в области информационной безопасности

Исследование подтверждает скорость адаптации мобильных технологий к использованию в корпоративном сегменте: 80% респондентов уже приняли решение или рассматривают возможность использования планшетных компьютеров в компаниях

Сергей
Колосков

CISA, CRISC, старший менеджер компании Ernst & Young

Андрей
Абашев

CISA, старший консультант компании Ernst & Young

Уместить весь отчет по результатам исследования в одну статью – довольно трудоемкая задача. Поэтому мы приведем краткое описание областей, касающихся построения стратегии управления информационной безопасностью в отношении мобильных технологий, управления рисками, а также вопросов бюджетирования.

Мобильные устройства

Из-за беспрецедентного роста популярности мобильных технологий (ноутбуков, смартфонов и планшетных компьютеров) компаниям приходится обеспечивать их интеграцию со своими информационными системами, успевать в относительно сжатые сроки идентифицировать риски, связанные с использованием подобных технологий, а также разрабатывать эффективную стратегию управления данными рисками.

Второй год подряд респонденты определили непрерывность бизнеса как приоритетную статью финансирования

Исследование показало, что основными методами снижения уровня рисков, связанных с использованием мобильных технологий, являются обновление политики информационной безопасности и активное обучение собственного персонала вопросам разработки и адаптации стандартных методов и средств обеспечения ИБ с прицелом на мобильные платформы.

Однако хочется отметить тот факт, что на данный момент на рынке не отмечается внушительного роста мобильных программных продуктов. Так, например, технологии криптографической защиты в мобильных устройствах используются менее чем в половине (47%) опрошенных компаний.

Управление рисками

Тенденции развития технологий указывают на тот факт, что компании все больше следуют правилам "оцифровывания" бизнеса, что позволяет им хранить информацию в облаке, отрицая все возможные границы, что, в свою очередь, вызывает опасения у большей части респондентов, так как при этом понадобится больше усилий для минимизации новых рисков.

72% респондентов считают, что увеличение уровня рисков связано прежде всего с увеличением количества внешних угроз, а 46% отметили увеличение числа угроз внутри собственной организации.

Исследование "Эрнст энд Янг", посвященное вопросам информационной безопасности, проходит ежегодно (уже в четырнадцатый раз). Исследования, проводимые компанией "Эрнст энд Янг", являются одними из наиболее узнаваемых и уважаемых среди крупных компаний во всем мире. За последние годы данные исследования позволили сосредоточить наше внимание на наиболее важных рисках и тенденциях и узнать свои сильные и слабые стороны, а также обратить внимание на используемые подходы в вопросах управления информационной безопасностью и выбрать для себя наиболее приемлемые решения

В то же время только треть респондентов внесла необходимые корректировки в собственную стратегию информационной безопасности для своевременного реагирования на эти угрозы.

Стратегия информационной безопасности

Залогом успеха и в то же время ключевой движущей силой успешного перехода на облачные вычисления остается информационная безопасность. 59% опрошенных респондентов планируют увеличить свой бюджет на информационную безопасность в течение следующих 12 месяцев.

При этом только у 52% респондентов присутствует задокументированная стратегия информационной безопасности. Данные показатели – неограниченность, ИТ-сервисы в облаке и "оцифровывание" бизнеса – требуют выработки продуманной стратегии и аккуратных действий. Специальные решения, которые могли быть полезны в прошлых практиках, не являются рациональным решением в будущем. Следует понимать, что банальное увеличение бюджета без наличия грамотно проработанной стратегии не обеспечит должной защиты данных.

В рамках исследования респонденты ответили на широкий круг вопросов, касающихся использования облачных вычислений и обеспечения безопасности данных. Были опрошены свыше 1700 менеджеров, вовлеченных в управление информационной безопасностью, из более чем 50 стран мира. Исследование охватило все основные сферы бизнеса. Наибольшая часть респондентов – представители финансового сектора (28%), индустриальных (16%) и телекоммуникационных (4%) компаний. Кроме того, в исследовании участвовали представители энергетических компаний, нефтяной и химической отраслей, некоммерческих организаций, а также представители сектора розничных продаж. Опрос проводился как методом интервьюирования, так и с помощью заполнения анкеты на специализированном Интернет-сайте

Исследование показывает, что не все компании имеют в достаточной мере проработанную стратегию информационной безопасности: только 12% респондентов поднимают вопросы информационной безопасности на каждом заседании совета директоров, и менее половины опрошенных (49%) респондентов отмечают, что функции информационной безопасности отвечают требованиям их организации.

Наиболее интересные результаты исследования
31%	отметили, что закупаемые решения по информационной безопасности не в полной мере соответствуют начальным требованиям
49%	отметили, что используемые функции информационной безопасности удовлетворяют требованиям их организации
56%	утверждают, что собственная стратегия по информационной безопасности требует изменений или дополнительного изучения
57%	отметили, что внесли необходимые поправки в свою политику информационной безопасности, связанные с использованием мобильных устройств
61%	уже приняли решение или рассматривают возможность использования сервисов на базе облачных вычислений в ближайшие 12 месяцев
66%	не внедрили средства предотвращения потери данных
84%	отметили, что используют или собираются использовать программу по управлению IT-рисками в ближайшие 12 месяцев
90%	убеждены в том, что внешняя сертификация повысит уровень доверия к облачным вычислениям

До тех пор пока информационная безопасность не станет частью предоставляемых сервисов, продуктов и частью общей стратегии компании, она не будет восприниматься как движущий фактор повышения показателей бизнеса.

Рекомендации

По результатам исследования были сформулированы рекомендации, направленные на улучшение уровня управления информационной безопасностью в разрезе использования мобильных технологий и, как вариант, передачи данных компании в облако (безусловно, важность и приоритеты выполнения рекомендаций в значительной мере зависят от специфики и структуры бизнеса конкретной организации):

Перенести информационную безопасность в область стратегического управления бизнесом.
Применять интегрированный подход к управлению рисками.
Уделить особое внимание рискам, связанным с использованием мобильных технологий и облачных сервисов.
Поднять интерес представителей высшего руководства к вопросам управления информационной безопасностью.
Сфокусировать внимание на повышении эффективности обучающих программ и программ по улучшению осведомленности пользователей в вопросах обеспечения информационной безопасности.
Определить требования по информационной безопасности и способы их контроля при взаимодействии с провайдерами облачных сервисов.
Обозначить стратегию использования мобильных технологий, определить процедуру управления мобильными устройствами и связанными с ними приложениями, разработать и внедрить систему внутреннего контроля, нацеленного на минимизацию рисков и угроз, связанных как с использованием мобильных технологий, так и с процессами перехода на облачные вычисления.

Опубликовано: Каталог "Системы безопасности"-2012
Посещений: 8352

Автор