Ernst&Young: Руководство компаний недооценивает важность информационной безопасности
Мишель Мур, Директор, руководитель отдела по оказанию услуг в области информационной безопасности и ИТ-рисков компании Ernst & Young.
Задумывались ли вы о том, как часто вашей компании приходится предоставлять свои данные, возможно содержащие конфиденциальную информацию, посторонним лицам или организациям? Мне, как аудитору информационных систем, в первую очередь на ум приходят следующие примеры: во-первых, проверяющим организациям; во-вторых, фирмам-разработчикам информационных систем. Уверена, что за несколько секунд вы назовете массу других примеров из опыта вашей компании. Конечно, мы пытаемся защитить себя договорами о конфиденциальности и не разглашении информации, но скорей всего, мы это делаем для своего собственного успокоения, прекрасно понимая, как трудно будет доказать вину партнера в суде, да и спасет ли это ваш бизнес, если жизненно важная информация уже находится у ваших конкурентов.
Что же касается безопасности передачи данных по сетям общего пользования, то до сих пор провайдеры услуг реалистично оценивают важность информационной безопасности. Ведь не для кого не секрет, что практически все онлайн-представительства компаний, специализирующихся на решениях в области PKI прошли независимую сертификацию Webtrust или Systrust. То же самое применимо и для услуг в области передачи данных и web-хостинга. Ведь это как раз тот случай, когда провайдеры могут сказать, что наша система безопасна не потому, что они сами ее таковой считают, а потому, что это подтверждено независимой оценкой.
Ежегодно проводимое компанией «Эрнст энд Янг» исследование в области информационной безопасности показывает, что, хотя вопросы обеспечения информационной безопасности и приобрели большое значение для многих компаний во всем мире, применяемые ими методы управления рисками непоследовательны и зачастую недостаточны. В результате такого поведения многие предприятия могут слишком поздно обнаружить, что отдача от крупных инвестиций в технологии страдает из-за неадекватных бизнес-процессов, невнимания к вопросам информационной безопасности или обучения персонала, от действий третьих лиц и деловых партнеров, а также из-за отсутствия процедур тестирования систем.
Также одним из самых важных вопросов, волнующих клиентов онлайн-систем, является безопасность их персональных данных. Так, например, 48% всех опрошенных уверены, что необходимо независимое подтверждение, что их персональная информация не будет использована без их согласия. А 83% опрошенных уже прекратили пользоваться услугами компаний, злоупотреблявшими их персональными данными в своих коммерческих целях.
Уверенность в обнаружении системных атак
Источник: «Эрнст энд Янг» 2002 г.
Из исследования очевидно, что обеспечение информационной безопасности зачастую по-прежнему рассматривается как технический вопрос, за который должен отвечать исключительно отдел ИТ. Принимаемые в результате такого подхода технологические решения не учитывают происходящие в компании бизнес-процессы.
Немногим более 50% респондентов указывают на опасность раскрытия конфиденциальной информации. Конфиденциальность информации может быть важна не для всех организаций, тем не менее, озабоченность безопасностью данных и сохранением их конфиденциальности остаются одним из основных препятствий на пути к увеличению обмена информацией.
Только 13% опрошенных считают, что отсутствие поддержки со стороны руководителей отделов ИТ является препятствием к повышению качества информационной безопасности; с точки зрения большего количества опрошенных (24%) таким препятствием может явиться отсутствие поддержки со стороны руководства компании.
По-прежнему сохраняется много указаний на то, что компании не имеют самой простой управленческой информации о случаях нарушения информационной безопасности. Это заставляет усомниться в том, что в процессе принятия решений о затратах и инвестициях в области ИТ учитываются потребности предприятия и реальная информация о происходящем.
Две трети опрошенных считают, что из-за развития обмена информацией риски будут возрастать; как и в прошлом году, главными препятствиями на пути развития обмена информацией считаются обеспечение безопасности и конфиденциальность информации. Только 22% назвали препятствием низкое доверие к деловым партнерам или третьим лицам; при этом, для эффективной работы системы информационной безопасности решающую роль играют основные участники этого процесса, в т.ч. сотрудники, поставщики и деловые партнеры.
Уменьшение масштабов общения с деловыми партнерами не является выходом из положения. Обмен информацией растет, и вместе с ним растут риски. Постоянные усилия по обеспечению и проверке оговоренного уровня безопасности должны стать одной из приоритетных задач для руководителей подразделений ИТ и компаний в целом.
Современная экономическая ситуация требует, чтобы руководители компаний рассматривали безопасность и доступность информации как приоритеты для всей компании, управляли этими процессами и предвидели грядущие изменения. Те компании, которые относятся к информационной безопасности безответственно, будут наказаны рынком и потенциальными деловыми партнерами. Нельзя ограничивать стратегию информационной безопасности техническими решениями. Ее составной частью должен стать глубокий анализ деловой культуры и тех рисков, с которыми компания имеет дело. Если мы хотим, чтобы эта стратегия приносила практическую пользу уже сегодня, она должна быть основана на информированности, должна быть объективной и должна служить основой для принятия тактических и оперативных решений. От того, как будет выстроена стратегия, зависит успех или неудача вашего предприятия.
Управление и координация эффективной системы обеспечения безопасности это задача, которую следует решать на уровне руководства компании.
Причины сбоев в работе жизненно важных систем
Источник: «Эрнст энд Янг» 2002 г.
Как можно добиться того, чтобы обсуждаемые руководством вопросы обеспечения безопасности основывались на потребностях предприятия, а не являлись реакцией на громкие статьи в прессе?
Ответы на следующие вопросы помогут оценить ситуацию в области информационной безопасности:
Понимает ли руководство предприятия, что задачу обеспечения информационной безопасности следует решать на уровне руководства, а не передавать исключительно под ответственность отдела ИТ? Согласована ли стратегия обеспечения информационной безопасности вашего предприятия с его общей стратегией?
Существует ли в вашей организации четкое распределение обязанностей по обеспечению информационной безопасности?
Могут ли члены руководства определить критические участки деятельности предприятия и угрожающие ему риски? С какой периодичностью эти данные подвергаются пересмотру?
Знаете ли вы, сколько средств затрачивается на информационную безопасность, и на что именно они затрачиваются? Можете ли вы оценить отдачу от этих вложений?
Какие последствия для предприятия будет иметь серьезное нарушение безопасности (репутация, доходы, юридические последствия, результаты операционной деятельности, доверие инвесторов)?
Считает ли ваша компания, что система информационной безопасности может быть инструментом, стимулирующим новые виды деятельности (например, если вы внедрите эффективную систему информационной безопасности, сможет ли ваша организация увеличить объем операций в сети Интернет?).
Насколько вам грозит риск приобрести репутацию компании, небрежно относящейся к вопросам информационной безопасности?
Какие меры вы приняли к тому, чтобы действующие из лучших побуждений (или наоборот) третьи лица не смогли нанести ущерб безопасности вашей организации?
Каким образом вы проводите независимую проверку того, что управление информационной безопасностью организовано в вашей компании должным образом?
Как вы оцениваете эффективность предпринимаемых вами мер по обеспечению информационной безопасности?
Анализ результатов исследования заставляет также задать вопрос: способны ли компании определить, к какому количественному ущербу для финансового положения и репутации компании приведет перерыв в ее работе, а не просто признать, что такие последствия для текущей деятельности существуют? Беспокоит также и то, что большинство респондентов не смогли дать определение операционным убыткам в коммерческих терминах (например, какие могут быть потери вследствие упущенных благоприятных возможностей или финансовые убытки в результате того, что 10.000 сотрудников не имели доступа к системам в течение 4 часов).
Мероприятия по проверке систем обеспечения информационной безопасности проводят менее половины опрошенных компаний. Но как они могут быть при таком положении дел уверены в том, что им известны действительные источники опасностей, и что их политика и процедуры в области обеспечения безопасности организованы эффективно?
Для эффективного функционирования системы информационной безопасности необходима структура, которая нацелена в будущее. С ее помощью компании смогут сделать безопасность одним из компонентов общей стратегии и планирования деятельности, управлять инвестициями и повышать доверие клиентов и инвесторов.
Использование этой структуры гарантирует, что при разработке и внедрении любых мер по укреплению безопасности будут учтены жизненно важные составные части бизнеса.
Если какому-либо из приведенных ниже пунктов не уделяется достаточно внимания, то руководителям предприятий, потенциальным партнерам компании, директорам и специалистам в области безопасности следует принять соответствующие меры:
Последовательный, комплексный подход к вопросам обеспечения информационной безопасности во всей организации.
Сбалансированный подход, учитывающий возможности технологий, процессов и кадровых ресурсов.
Ясное представление о затратах и известная отдача от вложенных средств.
Регулярные и разумные меры по проверке эффективности систем и процедур.
Критерии качества и показатели помогающие оценить эффективность.
План периодической переоценки рисков и систем безопасности.
Наступило такое время, когда руководители компаний должны осознать важность информационной безопасности, научиться предвидеть будущие тенденции и управлять ими. Эффективная работа систем безопасности должна стать первоочередной задачей для всего предприятия в целом.
Для эффективного функционирования системы информационной безопасности необходима структура, которая нацелена в будущее. С ее помощью компании смогут сделать безопасность одним из компонентов общей стратегии и планирования деятельности, управлять инвестициями и повышать доверие клиентов и инвесторов.
Использование приведенной ниже структуры гарантирует, что при разработке и внедрении любых мер по укреплению безопасности будут учтены жизненно важные составные части бизнеса.