Разделы

Наука Безопасность Бизнес

ИТ-специалисты выиграют сражение за безопасность?

Все больше компаний считает, что обеспечение информационной безопасности является одним из важнейших приоритетов для ведения бизнеса. Это требование все чаще формулируется в качестве главного к ИТ-специалистам. Самим вопросам защиты данных так же уделяется все больше внимания, что находит свое отражение в бюджетах компаний.

По данным исследования, проведенного в США в июне Secure Enterprise, эта тенденция сохранится в ближайшие два года. Компании не только продолжают профессионально готовить специалистов-безопасников, но и увеличивают инвестиции в это направление. В рамках упомянутого исследования было опрошено 431 специалиста американских государственных и коммерческих организаций.

Вопросы безопасности — в руки ИТ-специалистов

В настоящее время в большинстве компаний и государственных организаций Америки вопросами безопасности занимается ИТ-специалист, пишет Internetwk.com. Его основные рабочие функции сводятся к поддержке и настройке сетей. Но постепенно приходит понимание всей важности задачи по обеспечению защиты информации и необходимости привлечения специалистов, в обязанности которых будет входить решение только этих вопросов.

На вопрос о структуре отдела, отвечающего за информационную безопасность в рамках компании (или организации), около четверти опрошенных сообщили о наличии в штате специалистов, занимающихся работой исключительно в этом направлении. По сравнению с итогами аналогичного опроса, проведенного два года назад, их количество увеличилось на 10%. Около трети опрошенных (35%) ориентируются на то, что в ближайшие два года в их компаниях (или организациях) появятся эксперты по безопасности.

Структура службы ИБ предприятия

Структура службы ИБ предприятия

Источник: Secure Enterprise Survey

В последнее время существенно увеличилось общее число департаментов по вопросам информационной безопасности. Если 2 года назад подобного рода подразделения были только в 9% компаний, принявших участие в опросе, то в настоящее время их число увеличилось до 17%. В ближайшие два года этот показатель предположительно увеличится еще вдвое.

По словам Билла Томлинсона (Bill Tomlinson), директора по технологиям страхового брокера Willis North America, за последние два года департамент по ИБ в компании существенно расширился ввиду того, что увеличилось число электронных транзакций. Сейчас поддержкой межсетевых экранов и систем противодействия вторжениям занимаются 8 человек под руководством эксперта по вопросам защиты информации. Кроме того, несколько человек подразделения сотрудничают с техническими специалистами, поддерживающими работу сетей в компании в целом. При помощи департамента защиты информации компания обеспечивает внутренний контроль за безопасностью в работе с различными данными и информацией. Причем в данном случае держать собственный штат специалистов приоритетнее, чем заключать соглашения по аутсорсингу.

За ИТ-безопасность должны отвечать топ-менеджеры

Несмотря на то, что защита информации для компаний становится приоритетным направлением, только некоторые из них могут похвастаться наличием топ-менеджмента по этим вопросам. Должность директора по безопасности (CSO) существует пока только в 8% опрошенных компаний и организаций, отмечает издание Internetwk.com со ссылкой на опрос Secure Enterprise.

CSO отвечают за вопросы информационной, физической безопасности и защиту частных интересов. 10% компаний и организаций сообщили, что в их штате значится должность директора по информационной безопасности (CISO), то есть специалиста, курирующего исключительно вопросы защиты информации. Только в 6% компаний и организаций есть обе должности — CSO и CISO.

К примеру, в денверской компании-разработчике ПО J.D. Edwards, которую в июле приобрела PeopleSoft, должность CISO была создана около года назад. Менеджер должен отвечать за все аспекты информационной безопасности, в частности, защиты корпоративных сетей, установки специальных программных продуктов и обмен опытом в этой области с другими компаниями. Введение подобной должности, по словам Марка Эндри (Mark Endry), ИТ-директора J. D. Edwards, свидетельствует в первую очередь о значении, которое компания придает вопросам защиты данных. Одним из решающих факторов стало то, что в случае образования «дыр» в корпоративных сетях компания понесет серьезные потери, чреватые помимо всего прочего, потерей репутации и лояльности клиентов.

ИТ-безопасность — наша политика

Удивляет тот факт, что почти 1/3 опрошенных работают в компаниях, где нет определенной политики в сфере безопасности. Из 68% компаний, где все-таки таковая существует, менеджеры, влияющие на политику безопасности — это в основном ИТ-менеджеры, системные администраторы, ИТ-директора и руководители служб безопасности. Что же влияет и определяет формирование политики безопасности компании?

Согласно одному из исследований, взвешенная и продуманная политика безопасности позволяет создать благоприятные условия для развития бизнес-процессов. Добавьте к этому регулирующие соглашения, внешние нарушения безопасности, защиту корпоративного и бренд-имиджа и внутренние нарушения безопасности. Эти факторы заставляют организации тратить большие деньги на укрепление систем безопасности.

Например, компания Cooper Tire & Rubber, производитель с оборотом в $3,3 млрд., расположенный в Финдли (шт. Огайо), по словам Лорена Вагнера, менеджера сетевых услуг, не имеет какой-либо определенной стратегии в сфере безопасности. Существующая политика покрывает только вопросы доступного использования компьютеров, связи, паролей и других общих вопросов ИТ-безопасности.

Управление риском

Политика компании идет рука об руку с продуктами и услугами. Упомянутое исследование показывает, что организации (большинство включают расходы на ИТ-безопасность во весь ИТ-бюджет) вкладывают больше средств в продукты и услуги по усилению безопасности.

Имеет ли ваша организация обязательную политику безопасности?

Имеет ли ваша организация обязательную политику безопасности?

Источник: Secure Enterprise Survey

Является ли ИТ-бюджет составной частью всего бюджета организации?

Является ли ИТ-бюджет составной частью всего бюджета организации?

Источник: Secure Enterprise Survey

Суммы, выделяемые на приобретение средств ИБ, требуют обязательного обоснования

Суммы, выделяемые на приобретение средств ИБ, требуется обязательного обосновать

Источник: Secure Enterprise Survey

Владимир Макаров, ДИТ Москвы: За 10 лет ЕМИАС стал огромным брендом, объединившим 221 информационную систему
ИТ в госсекторе

Какие способы — формальные и неформальные — существуют в вашей организации для оценки целесообразности приобретения средств ИБ

Какие способы - формальные и неформальные - существуют в вашей организации для оценки целесообразности приобретения средств ИБ

Источник: Secure Enterprise Survey

Два года назад только 4,3 % организаций выделяли более 10% ИТ-бюджета на информационную безопасность, а 3/4 тратили 5% и менее, согласно опросу Secure Enterprise. Сегодня же наблюдается определенный сдвиг — 17% компаний выделяют 10% и более на ИТ-безопасность, а половина — 5% и менее. По прогнозам эти цифры будут расти. Два года назад только 32% опрошенных ожидали, что их компании будут тратить на ИТ-безопасность 5% и менее, а 33% думали, что 10% и более.

Русский смарт-сити среди Кавказских гор
ИТ в госсекторе

Американский опрос по информационной безопасности 2003, охвативший 815 ИТ-специалистов, показывает, что 81% организаций выделят на ИТ-безопасность больше или столько же средств, как и в прошлом году. Согласно Gartner, общие затраты на ИТ в этом году значительно увеличатся по сравнению с прошлым. Но для многих компаний — это будет первый год, когда более 5% ИТ-бюджета будет потрачено на безопасность. В течение этого года расходы на безопасность будут расти «по годовой ставке» 28% с 2001 года, а ИТ-бюджеты увеличатся за тот же период «по ставке» 6%.

Опрос Информационной Недели в США, проведенный в июне и июле, обнаружил, что компании инвестируют средства во многие продукты и услуги — межсетевые экраны (81%), антивирусное ПО (79%), VPN (71%), автоматизированная поддержка данных (51%), системы обнаружения вторжения (43%).

Прежде чем купить продукт из сферы ИТ-безопасности организации различными способами оценивают риски. Самый популярный метод — к удивлению, неформальный. Около 2/3 респондентов проводят неформальный анализ рисков или поводят внутренний аудит.

Выигрывая сражение?

По мнению опроса, проведенного институтом компьютерной безопасности и ФБР, придавая большее значение ИТ-безопасности, компании обретают силу в борьбе с хакерскими нападениями, по крайней мере, тогда, когда приходит время анализировать, почему организация несет убытки. Хотя процент респондентов, сообщающих о неправомочных действиях в компьютерных системах, остается низким, уровень финансовых потерь значительно снизился по сравнению с прошлым годом.

56% из 530 респондентов сообщили о несанкционированном использовании их компьютерных систем. В прошлом году эта цифра составила 60% и 59% в предыдущие годы. Основанная в Сан-Франциско профессиональная ассоциация ИТ-специалистов совместно с Сан-францисским отделом ФБР по борьбе с компьютерными преступлениями проводят ежегодный опрос (см. ниже).

Общие годовые потери в результате взломов компьютерных сетей в 2003 году составили примерно $202 млн., что на 56% меньше прошлогодней цифры ($455 млн.). Впервые с 1999 года отмечено снижение финансовых потерь.

Мотивационные факторы
(Что побуждает вашу организацию разрабатывать и совершенствовать политику безопасности?
Что заставляет вашу организацию тратить средства на ИБ?)

Мотивационные факторы

Источник: Secure Enterprise Survey

Самая распространенная причина финансовых потерь — кража секретной информации и DoS атаки. В случае DoS нападений расходы примерно такие — полное отсутствие бизнеса во время выхода системы из строя, расходы на ремонт и на предотвращение подобных нападений в будущем.

Как видно из проведенного опроса, риск нападений по-прежнему высок. К тому же, процент ИТ-инцидентов, о которых сообщают в полицию, остается достаточно низким (30%). В ходе опроса выяснилось, что только 56% извещают другие службы и организации о случившемся. В 2002 году эта цифра составляла 53% респондентов, а в 2001 — 60%.

По словам Виллиса Томлинсона (Willis Tomlinson), от серьезности инцидента зависит будут о нем сообщать или нет. В основном, компании извещают о крупных случаях кражи или разрушения базы данных, или о серьезных материальных потерях. Подобные случаи приносят дурную славу компаниям, и многие организации не сообщают о случившемся, дабы избежать негативной репутации, потому что все-таки компания несет ответственность за свою собственную безопасность. «Вы же не хотите вывесить огромный плакат, сообщающий, что вы тут наломали дров» — усмехается Виллис Томлинсон.

Службы, ответственные за ИТ-безопасность, сохранность базы данных и ресурсов, выражают надежду, что серьезные меры безопасности и профессиональный штат сотрудников безопасности помогут избежать инцидентов, о которых придется докладывать в соответствующие органы.

Количественное определение риска

Инвестиции в ИТ-технологии должны вписываться в общие цели компании и бюджет. Около ¾ респондентов говорят, что любая покупка продукта ИТ-безопасности должна быть оправдана с точки зрения бизнеса. Но даже если так, то лишь ¼ организаций предоставляет расчеты для демонстрации оправданности затрат на ИТ-безопасность. Марк Эндри, ИТ-директор компании J. D. Edwards говорит, что продукты ИТ-безопасности не создают дополнительного источника дохода и не снижают затраты. «Мы анализируем, во сколько нам обойдется сбой в системе ИТ-безопасности, и сколько мы сэкономим, вовремя устранив эту угрозу».

Основываясь на экономии рабочей силы, компания смогла оправдать покупку некоторых продуктов, таких как программное обеспечение, позволяющее самостоятельно менять пароли. «Но было очень тяжело решиться вложить доллар в предполагаемый риск», — говорит Марк Эндри.

SAFE.CNews.ru

Учебные курсы по теме:

Актуальные проблемы безопасности информационного пространства   Актуальные проблемы безопасности информационного пространства

 Аудит информационной безопасности. Методики и практическое применение Аудит информационной безопасности. Методики и практическое применение

Комплексная защита информации в организации Комплексная защита информации в организации

Применение технических средств обеспечения безопасности в построении системы комплексной защиты объектов Применение технических средств обеспечения безопасности в построении системы комплексной защиты объектов

Ознакомиться с полным списком учебных курсов Школы CNews можно здесь.