Обзор подготовлен |
|
Закон тормозит инвестиции в ИБ
Задача соблюдения требований законодательства выходит сегодня на первое место в вопросах обеспечения информационной безопасности. Однако именно это становится сдерживающим фактором в развитии ИБ-стратегий. Эксперты Ernst & Young отмечают, что в связи с усложнением процедур компании упускают возможности инвестиций в защиту информации.
Определяющим фактором в процессах обеспечения ИБ становится соблюдение законодательных требований. Наличие большого количества законодательных актов, а также последствия их несоблюдения приводят к тому, что вопросы информационной безопасности обсуждаются сегодня на уровне советов директоров. По данным опроса Ernst & Young, значимость этого фактора превосходит даже такую проблему, как борьба с компьютерными червями и вирусами. Приблизительно две трети респондентов (которые представляют 1300 международных компаний, правительственные и некоммерческие организации из 55 стран) обозначили проблему соблюдения требований законодательства, например, закона Сарбейнса-Оксли, 8-й директивы ЕС и аналогичных законодательных актов в качестве основного движущего фактора обеспечения ИБ.
Однако в связи с необходимостью соблюдения многочисленных законодательных требований компании не используют в итоге всех инвестиционных возможностей для развития своих стратегий ИБ, которые рассматриваются как неотъемлемая часть их бизнеса. Как комментируют эксперты Ernst & Young, можно было бы предположить, что благодаря тому вниманию, которое уделяется требованиям законодательства в связи с обеспечением ИБ, положение дел в этой сфере должно улучшаться, и информационная безопасность как направление деятельности должна становиться все более интегрированной в стратегию компании.
Ключевые факторы, стимулирующие развитие ИБ
* - точка отсчета — ноябрь 2005 г.
Источник: Ernst & Young, 2005
К сожалению, так происходит не всегда. Продолжает увеличиваться разрыв между возрастающими рисками, связанными с быстрыми изменениями международных условий ведения бизнеса, и мерами ИБ, направленными на управление этими рисками. Эта тенденция наблюдается во везде, независимо от размера и местонахождения организации.
Мобильность в ущерб безопасности
Существующие потребности бизнеса наряду со снижающимися ценами на беспроводные решения способствуют быстрому распространению и внедрению мобильных технологий. С их распространением ответственность за безопасность средств контроля, информационных активов и интеллектуальной собственности все больше ложится на отдельных сотрудников компаний. К подобной ответственности многие компании оказались не готовы. Менее чем в половине компаний предусмотрены внутренние правила, в соответствии с которыми пользователи должны пройти обучение или инструктаж по вопросам информационной безопасности, связанной с новыми технологиями. Еще меньшее количество компаний обучают сотрудников реагировать на факты нарушения правил информационной безопасности.
Главные угрозы информационной безопасности в мире, 2005
Источник: Ernst & Young, 2005
Другие быстро развивающиеся технологии, такие как IP-телефония, открытые стандарты взаимодействия систем и виртуальные сервера, за счет использования которых компании потенциально могут повысить свою конкурентоспособность, вызывают существенную обеспокоенность в связи с рисками для ИБ менее чем у 20% компаний. Большинство респондентов игнорируют всю серьезность угроз, связанных с использованием таких технологий. По мнению опрошенных, риски, связанные с использованием новейших технологий в целом, будут расти в течение следующего года. Тем не менее, более четверти участников исследования не планируют предпринимать какие-либо меры по решению данных вопросов в течение указанного периода или позднее.
Связанные одной целью
По мере увеличения объема информации, которой обмениваются между собой компании, им необходимо учитывать вопросы ИБ своих деловых партнеров, включая партнеров по аутсорсингу, поставщиков и заказчиков.
Аутсорсинг по-прежнему остается источником опасности для систем ИБ, поскольку многие компании уделяют недостаточно внимания управлению рисками, связанными с поставщиками, в том числе в части проведения независимых экспертиз и регулярных проверок практик и процедур, относящихся к продукции и услугам поставщиков. Согласно результатам исследования, одна пятая респондентов вообще не решает вопросы управления такими рисками, а треть опрошенных заявили, что в представляемых ими компаниях разработаны только неформальные процедуры.
Наиболее распространенные требования, направленные на минимизацию рисков в мире, 2005
Источник: Ernst & Young, 2005
Теперь для компании недостаточно решить внутренние вопросы ИБ, — отмечают в Ernst & Young. В противном случае выгоды от сотрудничества с аутсорсером могут быстро уменьшиться или исчезнуть из-за предполагаемого или реального нарушения безопасности или конфиденциальности. Компании должны на деле подтверждать свою готовность обеспечить надлежащий уровень ИБ, применяя общепризнанные стандарты или получая соответствующие сертификаты.
Управление безопасностью
Вопросы информационной безопасности в компаниях уже обсуждаются на уровне советов директоров и исполнительного руководства. Однако мероприятия, направленные на ее обеспечение, по-прежнему находятся на уровне отдельных операционных действий или посвящены решению тактических задач, не будучи ориентированными на стратегические цели компании.
Как комментируют эксперты Ernst & Young, эффективное планирование и выполнение мероприятий по ИБ могут внести значительный вклад в реализацию стратегических планов компании и решение вопросов управления рисками. Организации, обеспечивающие решение вопросов информационной безопасности должным образом, постоянно привлекают к работе профессионалов, специалистов в этой области для выявления тех сфер, где вопросы информационной безопасности являются неотъемлемой частью стратегических инициатив (например, сделки слияний / поглощений или аутсорсинг бизнес-операций). Подобные игроки применяют общепризнанные стандарты, передовой опыт и соответствующие ресурсы в области ИБ.
CNews / По материалам международного исследования Ernst & Young
|