Поделиться
ИТ-безопасность: никто не готов к новым угрозам
Компания Ernst&Young провела ежегодный глобальный опрос ИТ-руководителей о проблемах информационной безопасности. Как оказалось, пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире.Компания Ernst&Young также провела опрос, который позволяет выяснить, насколько реализованные в компаниях политики и практики соответствуют международным стандартам ИТ-безопасности. В этом мини-исследовании приняли участие 170 организаций из 27 стран. Далее перечислены те аспекты безопасности, по которым респонденты набрали оценку выше среднего (от 10,4 до 12 по 20-бальной шкале) и ниже среднего (от 8,2 до 9,9 по 20-бальной шкале):
Уровень соответствия реализованных в компаниях политик международным стандартам ИТ-безопасности
Источник: Ernst&Young
Выводы
Исследование показало, что организации отчетливо видят ту пропасть, что сегодня разделяет возрастающие риски и ИТ-безопасность. Чтобы преодолеть этот дисбаланс, компаниям необходимо предпринять ряд шагов. Только в этом случае можно минимизировать ключевые риски и превратить ИТ-безопасность в стратегический процесс. Меры, которые необходимо принять, также разбиты на четыре группы, по одной на каждую из выявленных проблем.
1. Следует использовать ту возможность, которую предлагают нормативные акты – сделать ИТ-безопасность интегрированной частью бизнес-процессов. А именно: увеличить инвестиции в обеспечение совместимости с нормативными актами, чтобы улучшить ключевые элементы функций ИТ-безопасности: архитектуру и организационную структуру; объединить процессы обеспечения совместимости с процессами ИТ-безопасности, чтобы повысить эффективность первых и комплексно покрыть риски; установить баланс между усилиями по реализации корпоративных политик и процедур и усилиями по достижению деловых целей организации.
2. Сделать сотрудничество с третьими фирмами более эффективным, особенно в области совместной работы и аутсорсинга. А именно: принять формальные процедуры, включая систему оценки рисков, чтобы корректно учитывать риски компаний-партнеров; требовать независимого аудита или сертификации в компаниях-партнерах, чтобы минимизировать новые риски и воспользоваться всеми плодами аутсорсинга; принять признанные стандарты ИТ-безопасности для своей собственной компании, чтобы продемонстрировать клиентам и заказчикам высокий уровень безопасности на своем предприятии.
3. Принять ряд мер, чтобы сделать использование новых технологий более безопасным. А именно: адекватно оценить риски, которым подвергается организация ввиду использования новых технологий, особенно те, которые связаны с недостаточным внутренним контролем или целиком зависят от поведения пользователей; принять комплексные меры минимизации рисков: проводить тренинги и обучать персонал, донести до каждого его ответственность в плане безопасности.
4. Сделать все возможное, чтобы ИТ-безопасность ориентировалась на стратегические цели организации. А именно: объединить ИТ-безопасность с всесторонним процессом управления рисками в компании; регулярно встречаться с директорами коммерческих отделов и советом директоров, чтобы объяснить высшим исполнительным лицам, как ИТ-безопасность может помочь им в реализации их собственных проектов, и отчитаться по проектам и инцидентам ИТ-безопасности, а также по процессам обеспечения совместимости; перераспределить ресурсы и бюджет на те задачи, которые отвечают стратегическим целям организации - автоматизировать рутинные операции и передать специализированные процессы, например, реакцию на инциденты и управление проектами, на аутсорсинг; пройти процесс сертификации или принять стандарт, который предоставляет достаточную базу, чтобы внедрить эффективные положения ИТ-безопасности, отвечающие стратегическим целям организации.
Короткая ссылка
