Бизнес излишне оптимистично оценивает ИБ своей ИКТ-инфраструктуры
Такой вывод делается в исследовании 2012 Global State of Information Security Survey, проведенном компанией PwC. Уверенность топ-менеджмента в защищенности выросла, но и число инцидентов тоже. Примечательно, что 23% респондентов работают в секторе ИКТ.
В исследовании PricewaterhouseCoopers (PwC) участвовали 9600 руководителей из 138 стран из компаний и организаций различных отраслей. В том числе 768 человек заявили о том, что работают в телекоммуникационной отрасли, а 1440 – о принадлежности к ИТ-компаниям.
Руководители, среди которых были ИТ-директора, директора по информационной безопасности (ИБ) и даже финансовые директора, дружно отрапортовали о росте бюджетов на ИБ, сокращении потерь, лучшем качестве мониторинга инфраструктуры с точки зрения ИБ. Например, в 2010 году 23% опрошенных не знали, сколько было случаев нарушения безопасности, в 2011 – уже 9%. В этом году 14% опрошенных не смогли типизировать инциденты, в прошлом – 33%. То есть осведомленность выросла в 2-3 раза. Финансовые потери от нарушения ИБ, по словам участников, сократились на 28% по сравнению с прошлым годом. При этом статистика показывает рост числа инцидентов по нарушению ИБ.
Аналитики PwC объясняют несоответствие завышенной самооценкой, самоуверенностью топ-менеджмента. Участникам опроса предложили выбрать категорию, к которой они отнесли бы свою компанию с точки зрения обеспечения ИБ: лидеры, стратеги, тактики, пожарные. Результат любопытен: 43% респондентов назвали себя лидерами, 27% стратегами, 15% тактиками и только 13% пожарными. "С точки зрения законов статистики, это не имеет никакого сходства с колоколообразной кривой стандартного нормального распределения. Однако иллюстрирует самовосприятие респондентов", - отмечает в отчете Гари Лавленд, руководитель регионального подразделения ИБ PwC.
"Российские компании, в том числе и операторы связи, увеличивают бюджеты на обеспечение ИБ. Однако статистика инцидентов показывает, что, начиная с 2007 года, компьютерные злоумышленники стали тратить на разработку новых преступных методов и технологий в разы больше, – объясняет генеральный директор компании Group-IB Илья Сачков. – Резкий рост уровня профессионализации рынка компьютерных преступлений связан именно с возможностью получить сверхприбыли, что в итоге напрямую отражается на количестве удавшихся атак". По его словам, сегодня разработчики ИБ-решений и их клиенты отслеживают преступные тренды и реагируют на них в постинцидентном режиме.
Далее, все четыре группы согласно отметили, что главными стимулами развития направления ИБ должны быть "стоимость" рисков и потребность бизнеса в непрерывности, противостоянии аварийным ситуациям. На практике три последние категории выбирают направления обеспечения ИБ в первую очередь под влиянием нормативных требований. "Лидеры" упирают на необходимость защиты баз данных.
Отвечая на детальные вопросы, около 50% участников констатировали сокращение бюджетов на новые инициативы в области ИБ, отсрочку при их внедрении, но "Стратеги" делают это чаще других – примерно 70% компаний этого сектора.
Только в 16% компаний соблюдаются все необходимые меры ИБ (перечислены в таблице). Более половины респондентов не соблюдают четырех из пяти перечисленных мер.
Доля респондентов, у которых внедрены меры ИБ Год Контроль доступа к сети Технологии идентификации Обучение сотрудников правилам ИБ Централизо- ванные системы управления безопасностью Тестирование инфраструктуры на предмет возможности проникновения
2011 47% 41% 43% 43% 38%
2010 53% 45% 49% 48% 38%
Источник: PwC, 2011
Отдельно более половины участников сообщили, что их организации не включили в стратегию ИБ положения об использовании сотрудниками личных, в том числе мобильных устройств, социальных сетей. Это при том, что набирает силу тренд конвергенции коммуникаций, удаленного доступа к корпоративной инфраструктуре.
В целом 72% респондентов уверены в эффективности своих компаний по обеспечению ИБ. Неплохой показатель, если не учитывать, что он снижается год от года. Первый отчет вышел в 2006 году, тогда уверенных было 84%.
В исследовании PricewaterhouseCoopers (PwC) участвовали 9600 руководителей из 138 стран из компаний и организаций различных отраслей. В том числе 768 человек заявили о том, что работают в телекоммуникационной отрасли, а 1440 – о принадлежности к ИТ-компаниям.
Руководители, среди которых были ИТ-директора, директора по информационной безопасности (ИБ) и даже финансовые директора, дружно отрапортовали о росте бюджетов на ИБ, сокращении потерь, лучшем качестве мониторинга инфраструктуры с точки зрения ИБ. Например, в 2010 году 23% опрошенных не знали, сколько было случаев нарушения безопасности, в 2011 – уже 9%. В этом году 14% опрошенных не смогли типизировать инциденты, в прошлом – 33%. То есть осведомленность выросла в 2-3 раза. Финансовые потери от нарушения ИБ, по словам участников, сократились на 28% по сравнению с прошлым годом. При этом статистика показывает рост числа инцидентов по нарушению ИБ.
Аналитики PwC объясняют несоответствие завышенной самооценкой, самоуверенностью топ-менеджмента. Участникам опроса предложили выбрать категорию, к которой они отнесли бы свою компанию с точки зрения обеспечения ИБ: лидеры, стратеги, тактики, пожарные. Результат любопытен: 43% респондентов назвали себя лидерами, 27% стратегами, 15% тактиками и только 13% пожарными. "С точки зрения законов статистики, это не имеет никакого сходства с колоколообразной кривой стандартного нормального распределения. Однако иллюстрирует самовосприятие респондентов", - отмечает в отчете Гари Лавленд, руководитель регионального подразделения ИБ PwC.
"Российские компании, в том числе и операторы связи, увеличивают бюджеты на обеспечение ИБ. Однако статистика инцидентов показывает, что, начиная с 2007 года, компьютерные злоумышленники стали тратить на разработку новых преступных методов и технологий в разы больше, – объясняет генеральный директор компании Group-IB Илья Сачков. – Резкий рост уровня профессионализации рынка компьютерных преступлений связан именно с возможностью получить сверхприбыли, что в итоге напрямую отражается на количестве удавшихся атак". По его словам, сегодня разработчики ИБ-решений и их клиенты отслеживают преступные тренды и реагируют на них в постинцидентном режиме.
Далее, все четыре группы согласно отметили, что главными стимулами развития направления ИБ должны быть "стоимость" рисков и потребность бизнеса в непрерывности, противостоянии аварийным ситуациям. На практике три последние категории выбирают направления обеспечения ИБ в первую очередь под влиянием нормативных требований. "Лидеры" упирают на необходимость защиты баз данных.
Отвечая на детальные вопросы, около 50% участников констатировали сокращение бюджетов на новые инициативы в области ИБ, отсрочку при их внедрении, но "Стратеги" делают это чаще других – примерно 70% компаний этого сектора.
Только в 16% компаний соблюдаются все необходимые меры ИБ (перечислены в таблице). Более половины респондентов не соблюдают четырех из пяти перечисленных мер.
Доля респондентов, у которых внедрены меры ИБ Год Контроль доступа к сети Технологии идентификации Обучение сотрудников правилам ИБ Централизо- ванные системы управления безопасностью Тестирование инфраструктуры на предмет возможности проникновения
2011 47% 41% 43% 43% 38%
2010 53% 45% 49% 48% 38%
Источник: PwC, 2011
Отдельно более половины участников сообщили, что их организации не включили в стратегию ИБ положения об использовании сотрудниками личных, в том числе мобильных устройств, социальных сетей. Это при том, что набирает силу тренд конвергенции коммуникаций, удаленного доступа к корпоративной инфраструктуре.
В целом 72% респондентов уверены в эффективности своих компаний по обеспечению ИБ. Неплохой показатель, если не учитывать, что он снижается год от года. Первый отчет вышел в 2006 году, тогда уверенных было 84%.
Ещё новости по теме:
18:20