Поделиться
Мировой рынок ИБ: деньги и люди закончились
Исследование Ernst & Young, затронувшее более 1300 организаций, показало, что развитие ИБ в мировых масштабах сдерживает отсутствие квалифицированных и опытных специалистов, а также нехватка финансов на необходимые системы безопасности. Люди и деньги закончились.Специалисты аналитического центра компании Perimetrix считают данный вопрос чрезвычайно актуальным и для России в том числе. По данным различных исследований, большинство отечественных специалистов также положительно оценивают влияние, например, закона "О персональных данных", стандарта банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" и других нормативных актов на ИБ.
Таким образом, информационная безопасность перестает быть отдельным направлением деятельности организации и начинает определять ее бизнес в целом. Примерно 80% респондентов Ernst & Young отметили, что решение задач ИБ приводит к повышению эффективности ИТ-процессов. Приведем типичный пример. Большинство нормативных актов так или иначе требуют, чтобы конфиденциальная информация (сведения о клиентах, интеллектуальная собственность и т. д.) была выделена и должным образом защищена. Но для этого важно провести сортировку данных, хранящихся в корпоративной сети организации. А правильная классификация прямым образом влияет на бизнес – сотрудники перестают тратить время на поиск нужных документов на файл-серверах, которые сегодня часто представляют из себя обычную свалку информации.
Только что мы фактически рассказали о третьем по счету драйвере рынка ИБ, а именно – о достижении тех или иных бизнес-целей (45%). А на втором месте "расположилась" защита конфиденциальных данных, которая, с одной стороны, тесно пересекается с остальными драйверами (прежде всего, с нормативными актами), но в то же время является отдельно стоящей темой. Отметим, что за последний год ее актуальность выросла почти в полтора раза – с 41% до 58%.
Специалисты компании Perimetrix предполагают, что организации не хотят допускать утечки, поскольку каждая из них сопровождается серьезными материальными потерями. По данным исследования Ponemon Institute "2007 Annual Study: The cost of data breach", средний ущерб от потери всего одной конфиденциальной записи (например, информации об одном клиенте) составляет почти 200 долл., причем большая часть из этих средств приходится на репутационный урон. Хотелось бы отметить, что ущерб репутации оказался на пятом месте в перечне Ernst & Young.
Четвертым драйвером рынка, по мнению респондентов, является интеграция процессов обеспечения ИБ в общую функцию компании по управлению рисками. Данные исследования говорят о том, что степень интеграции постепенно растет, и это логично вытекает из общей конвы развития рынка. Мы уже говорили, что безопасность превращается из опосредованной функции в средство решения прикладных бизнес-задач, а управление рисками как раз и является одной из них.
Степень интеграции функций ИБ и управления рисками
Источник: Ernst & Young, 2007
Остальные драйверы можно считать малозначительными или специфичными для отдельно взятой отрасли/региона. Принципиально важно, что среди них находятся внешние риски (фишинг, вирусы, шпионское ПО), а также развитие технологий безопасности. Другими словами, и тот и другой фактор влияют на современную ИБ не слишком сильно, и это обстоятельство также следует иметь в виду.
Управление информационной безопасностью внутри и снаружи
Профиль угроз, с которыми борются решения по информационной безопасности, постоянно меняется. Как следствие, организации вынуждены искать способы оценить эффективность внедренных продуктов. С ростом количества и сложности защитных систем, эта задача становится существенно труднее, и зачастую с ней нельзя справиться, привлекая только внутренние ресурсы. Среди основных способов, используемых для оценки собственной защищенности, организации называют внутренний и внешний аудит, внутреннюю самоооценку и внешнюю оценку независимыми компаниями.
Способы оценки эффективности системы ИБ
Источник: Ernst & Young, 2007
Аналитики Ernst & Young рекомендуют применять все методики в комплексе. Причем делать это необходимо постоянно и объективно. В противном случае вместо решения бизнес-задач системы информационной безопасности будут предназначены для вытягивания денег из корпоративного бюджета.
Не менее важной представляется и задача внешнего контроля. Дело в том, что огромная масса проблем по безопасности возникает на стадии передачи информации сторонним компаниям. По сведениям Ponemon Institute, до 40% утечек информации происходят по вине "третьих" организаций. Исключить этот процесс решительно невозможно, а как-то бороться с проблемой необходимо. По данным Ernst & Young, в 2007 году 78% организаций выдвигают требования по информационной безопасности своим партнерам. Подход крайне простой – хочешь работать с нами, будь добр соответствовать нашим запросам. Надо заметить, что в 2006 году этот показатель составлял 66%. Таким образом, мы видим еще один яркий пример прямого влияния ИБ на бизнес различных организаций.
Среди рекомендаций Ernst & Young по улучшению системы безопасности - усиление взаимосвязи ИБ и бизнес-целей, интеграция ИБ в систему управления рисками, обеспечение соответствия стандартам и использование нетрадиционных подходов для поиска специалистов.
Владимир Ульянов
Короткая ссылка
