Поделиться
Aktiv.Consulting оценила уровень зрелости ИБ российских компаний
Эксперты бизнес-направления Aktiv.Consulting компании «Актив» представили первый аналитический отчет «Оценка уровня зрелости информационной безопасности». Документ отражает актуальную ситуацию в части обеспечения ИБ, состояние ключевых процессов, а также содержит рекомендации по повышению уровня зрелости функции ИБ в российских компаниях.
Далеко не все российские компании имеют возможность регулярно оценивать уровень зрелости информационной безопасности в силу отсутствия ресурсов и фреймворков. В то же время такая оценка могла бы послужить основой для выявления уязвимых мест, обоснования выделения средств для обновления технического парка, найма и мотивации персонала и развития функции ИБ в компании в целом. Именно поэтому эксперты Aktiv.Consulting приняли решение провести исследование и отразить актуальную ситуацию в части обеспечения ИБ в отечественных компаниях с целью гармоничного развития это бизнес-функции.
Объектом исследования специалистов Aktiv.Consulting стали 52 российских компании с выделенной функцией информационной безопасности, представляющие промышленность, финансовую, ИТ и ИБ отрасли, здравоохранение, строительную индустрию и другие направления.
В основу методологии исследования лег опросник для самооценки, разработанный экспертами Aktiv.Consulting, содержащий сто сценариев по пяти направлениям: «Управление ИБ», характеризует управление процессами обеспечения информационной безопасностью; «Базовая ИТ- и ИБ-гигиена», касается базовых мер обеспечения ИБ; «Обеспечение ИБ», связано с техническим оснащением службы ИБ; «Мониторинг, реагирование и восстановление» описывает уровень обеспечения защиты данных; «Комплаенс» связан с выполнением требований регуляторов.
По результатам исследования был сформирован отчет, который содержит описание методологии, сценарии, оценки и ключевые выводы по каждому сценарию. Отчет также приводит сравнительный анализ уровня зрелости для небольших, средних и крупных компаний.
Основные выводы, которые сделали эксперты Aktiv.Consulting по итогам собранной аналитики: тенденции, выявленные на всем массиве данных, актуальны и для каждой группы по отдельности; наличие больших ресурсов не гарантирует высокий уровень зрелости ИБ. Распределение имеющихся ресурсов всегда обусловлено потребностями основных бизнес-процессов, в то время как вопросы ИБ относятся к обеспечивающим; дельта от малого к крупному бизнесу по направлениям «Управление ИБ» и «Обеспечение ИБ» (6-9%) обусловлена тем, что обеспечить грамотное управление ИБ в небольшой компании проще и дешевле. С ростом компании растет и составляющая бюрократизации процессов; направление с наивысшей оценкой для всех организаций — «Базовая ИТ и ИБ гигиена». Данное направление не требует существенных вливаний бюджета и позволяет решать задачи собственными силами специализации; на втором месте для небольших и средних компаний — «Комплаенс», который является в некотором смысле «драйвером» для внедрения требований информационной безопасности и для обоснования выделения ресурсов и финансов на развитие функции ИБ; крупные компании фокусируются на «Мониторинге, реагировании и восстановлении». Основные сложности для них связаны с большим объемом данных и масштабными системами, которые трудно контролировать; различия в тех направлениях, которые получают наибольшую и наименьшую оценку уровня зрелости, для малых, средних и крупных компаний — это следствие разных приоритетов бизнеса и ресурсных ограничений.
Короткая ссылка
