|
|
Возросший в кризис риск утечки конфиденциальной информации – в целях наживы или из мести со стороны уволенных сотрудников - заставляет бизнес концентрироваться на обеспечении защиты данных даже в непростой для рынка ситуации, отмечают исследователи. Абсолютное большинство опрошенных назвали защиту данных основным ИБ-приоритетом.
Исследование PricewaterhouseCoopers выявило, что кризис не столь значительно повлиял на затраты по обеспечению защиты информации. 64% опрошенных сообщили, что последствия экономического кризиса практически не затронули функцию ИБ, из них 36% респондентов согласны с данным утверждением, 9% выразили полное согласие, а 18% — частичное. Только 14% опрошенных сообщили, что ощутили влияние кризиса на обеспечение информационной безопасности.
При этом большинство участников опроса согласны с тем, что из-за последствий финансового кризиса возросли угрозы для ИТ-активов компании, связанные со снижением лояльности сотрудников, партнеров и поставщиков. Участники опроса отметили, что сокращение финансирования усложняет поддержку информационной безопасности на необходимом уровне. При этом, как отмечают в PWC, на фоне кризиса повышается риск хищения и передачи ключевой для бизнеса информации от работающих сотрудников конкурентам в целях наживы. Вынужденное увольнение сотрудников также негативно сказывается на уровне информационной безопасности компаний-респондентов.
Влияние кризиса на обеспечение ИБ
Источник: PWC, 2009
Отметим, что специалисты Ernst & Young в своем недавнем исследовании (проводилось с июня по август 2009 г.) также говорят о повышении такого риска в области ИБ, как месть со стороны уволенных в кризис сотрудников. Выяснилось, что подобными попытками мести обеспокоены 75% респондентов, 42% пытаются получить представление о потенциальных рисках, связанных с этим вопросом, а 26% принимают меры по минимизации этих рисков.
Опрос проводился в 114 странах мира в самый разгар финансового кризиса (с мая по июнь 2009 г.) через интернет. В нем приняли участие более 7 тыс. респондентов из компаний разного масштаба, при этом из России — чуть менее 100 человек.
Абсолютное большинство респондентов PWC при этом в качестве основного приоритета политики информационной безопасности назвали обеспечение защиты данных. Положительную оценку важности и необходимости реализации данной инициативы дали 74% респондентов. Из них 5% отдали осуществлению данной инициативы наивысший приоритет, 18% назвали ее "крайне необходимым мероприятием", 36% — важной.
Оценка значимости политики ИБ в компании
Источник: PWC, 2009
"То, что большинство опрошенных указывает на необходимость обеспечить сохранность данных, неудивительно, — полагает Михаил Орешин, директор по развитию системного интегратора "Амрита-Групп", специализирующегося на ИБ. — Вопрос, с чем это связано: с тем, что сокращения проходят не так корректно, как можно было сделать, или что поток информации со всех сторон об утечках настолько большой, что уже автоматом указываешь на этот риск". По словам Орешина, интересно было бы узнать, сколько респондентов, посчитавших утечки основным риском, предпринимают или намерены предпринять конкретные действия в этом направлении.
Константин Коротнев, начальник отдела аудита и консалтинга компании "АМТ-Груп":
Одним из путей управления рисками ИБ является их передача поставщику услуг обеспечения ИБ, что может быть реализовано с помощью аутсорсинговых схем с заключением соглашения об уровне сервиса (SLA). Данный подход позволяет не только передать ответственность за часть рисков ИБ, но и более прозрачно контролировать затраты на ИБ, добиваться измерения уровня предоставления услуг информационной безопасности и обеспечивать их предоставление на необходимом и достаточном для бизнеса уровне
Анализ рисков внутри организации, передача части функций обеспечения ИБ внешнему партнеру и контроль предоставления описанных в SLA услуг посредством управления уровнем сервиса в совокупности позволяет реализовать наиболее необходимую в настоящий период экономическую обоснованную и бизнес-ориентированную модель информационной безопасности. Данная модель может быть с успехом применена к такому актуальному на сегодняшний день направлению деятельности по обеспечению ИБ, как защита персональных данных в соответствии с требованиями ФЗ №152. Интеграция мероприятий, направленных на выполнение требований регуляторов с существующими или создаваемыми процессами менеджмента ИБ и применения для их реализации процессного подхода позволяют повысить эффективность функционирования системы в целом и добиться необходимых результатов.
В компании InfoWatch, специализирующейся на системах по защите данных от утечек, подтверждают, что во время кризиса количество заказов продолжало расти. "На своей безопасности наши клиенты предпочитали не экономить, - говорит Николай Федотов, главный аналитик InfoWatch. - Мы полагаем, это свидетельствует, что в докризисные благополучные годы ИБ слегка недофинансировалась". Михаил Орешин из "Амрита-Групп" считает, что причина не столько в том, что компании задумались об информационной безопасности, а в том, что бюджеты и так были неприлично малы, и сокращать то, что и так невелико, неразумно.
"Также отрадно видеть, что респонденты оценили, наконец, такую группу "внутренних" угроз, как саботаж ИТ-специалистов, - продолжает Николай Федотов. - До недавнего времени ее просто не замечали, а то и вовсе отрицали возможность саботажа и вредительства со стороны собственных работников (эти термины прочно ассоциировались с репрессиями 1930-х, а в контексте настоящего их просто не воспринимали). Тем временем, саботаж занимает существенное, если не главное место в перечне внутренних угроз, а месть - лишь одна из возможных разновидностей".
Применение и внедрение средств автоматизации информационной безопасности, согласно результатам опроса, заняло второе место среди предложенных инициатив. Участники опроса сообщили, что за счет внедрения систем автоматизации ИБ они планируют достичь сокращения затрат и повышения производительности. К системам такого рода можно отнести решения по предотвращению утечек информации, антивирусные решения, системы фильтрации трафика. Данные средства получили наибольшее количество голосов участников опроса. При этом 30% респондентов считают приобретение и внедрение средств автоматизации ИБ важной инициативой для своей организации. 15% — крайне важной, а 9% отдали ей отдали наивысший приоритет и планируют уже в ближайшее время реализовать такие проекты.
Инициатива по передаче части (а в некоторых случаях — 100%) функций по обеспечению информационной безопасности на аутсорсинг заняла третье место в опросе PWC. 70% респондентов сообщили, что в той или иной мере заинтересованы в аутсорсинге. Исследователи отмечают, что в настоящее время на рынке наблюдается усиление конкуренции в данной нише среди компаний — провайдеров ИБ-услуг, а также жесткая борьба за удержание существующих и привлечение новых клиентов. Тем не менее, наивысший приоритет данной инициативе отдали лишь 2% участников опроса, очень важной ее сочли 22% респондентов, важной — 31%. 16% опрошенных настороженно относятся к данной инициативе, но, тем не менее, считают передачу части полномочий по обеспечению ИБ возможной; 6% выразили категорическое несогласие с данной инициативой.
Оценка аутсорсинга функций ИБ
Источник: PWC, 2009
"Аутсорсинг услуг ИБ пока находится "в загоне", — подтверждает Николай Федотов из InfoWatch. — Умом руководители понимают, что он может быть выгоден. Но вот сердце противится отдавать такую деликатную задачу на исполнение как бы "чужим" специалистам. Хотя лояльность, добросовестность и юридическая ответственность этих "чужих" зачастую выше, чем у "своих"".
В необходимости соответствия требованиям закона № 152-ФЗ по обеспечению защиты персональных данных уверены 30% респондентов. Более половины респондентов (51%) считают, что реализация данной инициативы необходима, даже несмотря на трудные экономические условия и последствия мирового финансового кризиса. Для 18% участников опроса данная инициатива крайне важна, а для 3% имеет в настоящее время самый высокий приоритет. Однако 49% респондентов выразили мнение, что данная инициатива может быть отнесена на второй план с учетом проблем, связанных с финансированием и неоднозначностью требований законодательства. И только 6% от общего числа опрошенных сообщили, что данная инициатива абсолютно не важна для них.
В опросе Ernst & Young также отмечается, что вопросы соблюдения нормативных требований продолжают занимать важное место в перечне приоритетных ИБ-задач. 55% опрошенных указали, что затраты на эти цели привели к умеренному или даже значительному росту затрат на ИБ в целом. Лишь 6% респондентов планируют сократить затраты на обеспечение соблюдения нормативных требований в течение следующего года.
Надежда Генина
CNews: Каковы, на ваш взгляд, актуальные задачи и стратегии отечественного финансового сектора в вопросах поддержки уже сформированных инфраструктур?
Светлана Василькова: Самая главная стратегия - это антирисковый подход к построению ИТ-инфраструктуры. Это значит, что необходимо создание системы управления ИТ-рисками, связанными с операционными рисками банка в целом. Система должна учитывать требования бизнеса, существующего законодательства, а также "лучшие практики" в этой области.
К числу чрезвычайно важных задач я отношу также преодоление непрозрачности, бизнес-ориентированность ИТ-проектов, переход на сервисно-ориентированную архитектуру и обеспечение информационной безопасности бизнеса.