Поделиться
ИТ-безопасность: никто не готов к новым угрозам
Компания Ernst&Young провела ежегодный глобальный опрос ИТ-руководителей о проблемах информационной безопасности. Как оказалось, пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире.ИТ-безопасность и общая организация бизнеса
"Интеграция процессов ИТ-безопасности в стратегию бизнеса компании позволяет создать всестороннюю систему управления рисками. Компании, которые организуют подобную систему, постоянно вовлекают в процесс принятия решений департамент ИТ-безопасности. В результате становятся более эффективными решения в таких стратегических направлениях, как слияния и поглощения, аутсорсинг и запуск продуктов.. Эти компании также понимают роль стандартов ИТ-безопасности, передового опыта и ценных ресурсов", - считает Денис Зенкин. Тем не менее, не все организации следуют описанной выше стратегии. Некоторые, напротив, по-прежнему продолжают фокусировать усилия ИТ-безопасности на решении производственных и тактических задач. От этого страдают стратегические цели организации, что приводит к росту соответствующих расходов.
Прежде всего, стоит обратить внимание на то, как ИТ-безопасность интегрирована с системой управления рисками. Две трети респондентов сообщили, что в их компаниях забота об обеспечении безопасности выделена в отдельную функцию. Это хорошая новость. Однако более одной четверти руководителей заявили, что функция обеспечения ИТ-безопасности не интегрирована в общие процессы управления рисками в компании. Такие организации страдают оттого, что реализуемые проекты ИТ-безопасности либо обладают избыточностью, либо фокусируются на угрозах, представляющих минимальные риски для данного предприятия.
Исследование "Global Information Security Survey 2005" позволило выяснить, что на практике достаточно многие функции ИТ-безопасности оказываются в изоляции от бизнес-процессов компании. Например, менее одной трети руководителей ежемесячно встречаются с менеджерами, отвечающими за внутренний аудит, совместимость с нормативными актами и т.д. Менее половины из них сообщили, что они вовлечены в запуск и продвижение новых продуктов, создание стратегических инициатив, защиту интеллектуальной собственности и др. Менее четверти участвуют в принятии решений о слияниях и поглощениях.
Источник: Ernst&Young
Еще одним показателем разобщенности между ИТ-безопасностью и управлением рисками является низкая степень вовлеченности в процесс управления рисками специалистов по внутреннему аудиту и обеспечению совместимости, а также экспертов из юридического отдела. Менее половины этих профессионалов принимают участие в проверке и разработке плана ИТ-безопасности в случае, если в компании происходит реструктуризация.
Источник: Ernst&Young
Вдобавок, менее половины руководителей коммерческих отделов вовлечены в эту деятельность. Несколько лучше дела обстоят с директорами компании: более половины из них участвуют в проверке корпоративной стратегии ИТ-безопасности. Однако и они разобщены. Многие организации применяют формальные процедуры ИТ-безопасности в других процессах предприятия. Так, около половины респондентов используют их для решения проблем ИТ-безопасности в процессах разработки приложений, управления рисками в компаниях-поставщиках, тренингах и обучающих программах для персонала. Оставшиеся компании применяют только неформальные процедуры или не используют их вовсе. Это особенно тревожно, так как 60% опрошенных руководителей считают серьезной проблемой безопасность сетевых приложений, а немногим более 40% из них не используют формальных процедур ИТ-безопасности в процессе разработки кода.
Источник: Ernst&Young
Почти все компании уверены в том, что эффективно определяют критические для своего бизнеса системы. Однако многие респонденты сообщили, что не контактируют с руководителями коммерческих отделов по вопросам ИТ-безопасности и считают, что эти руководители не в состоянии сами определить критические системные функции и активы. Интересно, что респонденты считают, что хорошо справляются с оценкой уязвимостей и тестами на проникновение. Правда, они по-прежнему регистрируют довольно много инцидентов с вирусами и червями. Наконец, опрошенные руководители высоко ценят эффективность своей работы в таких областях, как управление исправлениями и уязвимостями, управление доступом и идентификацией. Однако реальная эффективность этих процессов под сомнением: слишком мало процессов ИТ-безопасности используется, слишком много инцидентов с червями и вирусами регистрируется. Таким образом, разница между реальным положением дел и тем, как руководители оценивают свою деятельность, может служить дополнительным источником рисков.
Исследование позволило установить, что респонденты тратят более половины своего времени и бюджета на выполнение рутинных операций и реакцию на инциденты. Тактический и реактивный характер этих задач заставляет оценить эту деятельность, как наименее ценную для организации. Дело в том, что рутинные операции должны быть автоматизированы. Это приведет к высвобождению времени и средств, в которых нуждаются другие процессы ИТ-безопасности. Другим путем решения проблемы может стать аутсорсинг некоторых конкретных специализированных задач. Это поможет освободить внутренние ресурсы, включая персонал, и перенаправить их для участия в стратегических проектах, на которые сегодня приходится лишь 22% времени и 17% бюджета, отводимых на ИТ-безопасность.
Источник: Ernst&Young
Отдельно необходимо остановиться на аутсорсинге, так как он может принести серьезную пользу организации. Уже отмечалось, что основной трудностью в обеспечении должного уровня ИТ-безопасности более половины респондентов назвали отсутствие подготовленных и опытных кадров. Между тем именно аутсорсинг призван решить эту проблему. Около 75% респондентов сообщили, что они по-прежнему обрабатывают информацию об инцидентах в своей собственной компании и около 85% точно так же управляют проектами ИТ-безопасности. Однако оба этих процесса лучше всего подходят для аутсорсинга. Так, процессы управления проектами особенно нуждаются в подготовленных кадрах, которые оказывают решающее влияние на успешность проекта ИТ-безопасности.
Короткая ссылка
