Инфобезопасность: топ-менеджеры не принимают адекватных мер
Результаты исследования, проведенного компанией Ernst&Young, показывают, что организации по всему миру не предпринимают необходимых мер, чтобы защитить себя от нарастающих угроз в области информационной безопасности.
Результаты исследования аудиторской и консультационной компании Ernst&Young в области информационной безопасности за 2004 год показали, что, несмотря на хорошую осведомленность руководителей компаний о рисках, которым подвергается информационная безопасность со стороны сотрудников их организаций, они не предпринимают адекватных мер. Более 70% из 1233 организаций, представляющих ведущие компании из 51 страны мира, не включили обучение и повышение осведомленности сотрудников по вопросам информационной безопасности в списки своих приоритетных задач.
По мере того, как организации развиваются в направлении все более децентрализованных бизнес-моделей, делегируя некоторые функции внешним подрядчикам, им становится все труднее контролировать безопасность своей информации, а руководителям все труднее оценивать уровень риска, которому они подвергаются.
«Компании могут делегировать выполнение работы, но они не могут делегировать ответственность за безопасность», говорит Эдвин Беннет (Edwin Bennett), директор международной практики Ernst&Young в области информационных технологий и компьютерной безопасности, Менее одной трети из этих компаний проводят регулярную оценку работы своих поставщиков ИТ-услуг с целью контроля соблюдения ими политики по информационной безопасности они полагаются исключительно на доверие. Организации должны требовать большей степени обеспечения безопасности от своих партнеров по бизнесу".
«В России и странах СНГ редки случаи делегирования функций обеспечения информационной безопасности внешним подрядчикам из-за отсутствия доверия к ним», заявила Мишель Мур (Michele Moor), партнер Ernst&Young, руководитель отдела услуг в области информационных технологий и компьютерной безопасности в России и СНГ,- Однако компании в России и странах СНГ сталкиваются с такими же проблемами в области безопасности недостаточным вниманием со стороны высшего руководства, нерегулярным проведением оценки рисков и недостатком либо полным отсутствием инвестиций в работу по снижению рисков, связанных с человеческим фактором".
Организации по-прежнему уделяют основное внимание таким внешним угрозам, как вирусы, в то время как серьезность внутренних угроз постоянно недооценивается. Компании охотно идут на закупки технологических средств, в частности, межсетевых экранов и антивирусной защиты, но не готовы относить кадровые проблемы к разряду приоритетных.
«Хотя общественное внимание по-прежнему сосредоточено на внешних угрозах, говорит Эдвин Беннет, гораздо больший ущерб может быть нанесен компаниям некорректным поведением сотрудников, их оплошностями, упущениями или подходом к работе, нарушающим существующие стандарты». Так как многие происшествия с участием сотрудников остаются невыявленными, организации часто и не подозревают о недобросовестной работе персонала. Слишком многие организации считают, что обеспечение информационной безопасности не имеет смысла, если отсутствует видимая угроза. Такая точка зрения остается неизменной последние десять лет, в течение которых Ernst&Young проводит это исследование".
Компаниям следует уделять больше внимания поощрению внимательного отношения к вопросам безопасности, что подразумевает задание правильного общего настроя руководством. По мнению г-на Беннета, это жизненно важно для изменения подхода организаций к обеспечению информационной безопасности. «Компании могут изменить свой взгляд на информационную безопасность и относиться к ней как к одному из способов повышения конкурентоспособности и сохранения стоимостного потенциала компании, а не просто считать ее одной из статей расходов на ведение бизнеса, сказал он. Однако тон для таких изменений должен задаваться заметными сдвигами в отношении руководства компании и совета директоров к этой проблеме. В настоящее время только 20 процентов организаций рассматривают информационную безопасность как одну из приоритетных задач руководства. Можно и нужно предпринимать дополнительные усилия для качественного изменения навыков и отношения сотрудников, которые часто являются основной причиной уязвимости компаний, чтобы превратить их в самый мощный оборонительный рубеж компании».