Результаты международного исследования в области информационной безопасности
В рубрику "Спецпроект: mobile security" | К списку рубрик | К списку авторов | К списку публикаций
Результаты международного исследования в области информационной безопасности
Исследование подтверждает скорость адаптации мобильных технологий к использованию в корпоративном сегменте: 80% респондентов уже приняли решение или рассматривают возможность использования планшетных компьютеров в компаниях.
Сергей Колосков
CISA, CRISC, старший менеджер Ernst & Young
Андрей Абашев
CISA, старший консультант Ernst & Young
Уместить весь отчет по результатам исследования в одну статью – достаточно трудоемкая задача. Поэтому мы приведем краткое описание областей, касающихся построения стратегии управления информационной безопасностью в отношении мобильных технологий, управления рисками, а также вопросов бюджетирования.
Мобильные устройства
Из-за беспрецедентного роста популярности мобильных технологий (ноутбуков, смартфонов и планшетных компьютеров) компаниям приходится обеспечивать их интеграцию со своими информационными системами, успевать в относительно сжатые сроки идентифицировать риски, связанные с использованием подобных технологий, а также разрабатывать эффективную стратегию управления данными рисками.
Исследование показало, что основными методами снижения уровня рисков, связанных с использованием мобильных технологий, являются обновление политики информационной безопасности и активное обучение собственного персонала вопросам разработки и адаптации стандартных методов и средств обеспечения ИБ с прицелом на мобильные платформы.
Второй год подряд респонденты определили непрерывность бизнеса как приоритетную статью финансирования.
Однако хочется отметить тот факт, что на данный момент на рынке не отмечается внушительного роста мобильных программных продуктов. Так, например, технологии криптографической защиты в мобильных устройствах используются менее чем в половине (47%) опрошенных компаний.
Управление рисками
Тенденции развития технологий указывают на тот факт, что компании все больше следуют правилам "оцифровывания" бизнеса, что позволяет им хранить информацию в облаке, отрицая все возможные границы, что, в свою очередь, вызывает опасения у большей части респондентов, так как при этом понадобится больше усилий для минимизации новых рисков.
Исследование "Эрнст энд Янг", посвященное вопросам информационной безопасности, проходит ежегодно (уже в четырнадцатый раз). Исследования, проводимые компанией "Эрнст энд Янг", являются одними из наиболее узнаваемых и уважаемых среди крупных компаний во всем мире. За последние годы данные исследования позволили сосредоточить наше внимание на наиболее важных рисках и тенденциях и узнать свои сильные и слабые стороны, а также обратить внимание на используемые подходы в вопросах управления информационной безопасностью и выбрать для себя наиболее приемлемые решения.
72% респондентов считают, что увеличение уровня рисков связано прежде всего с увеличением количества внешних угроз, а 46% отметили увеличение числа угроз внутри собственной организации.
Окружающая нас экономическая среда, а также появляющиеся требования к выстроенным процессам обеспечения доступности и безопасности информации постоянно меняются, заставляя компании использовать новые технологии. В настоящее время мы можем наблюдать, как все больше и больше различных бизнес-моделей подразумевает размещение не только обрабатываемой информации, но и всей модели ведения бизнеса в облаке. Эта виртуальная среда с постоянно увеличивающимися требованиями к использованию решений на базе мобильных технологий, а также с удаленным доступом, раздельной вычислительной инфраструктурой и сервисами, постоянно наращиваемой клиентской базой требует обеспечения на должном уровне доступности и безопасности данных.
В то же время только треть респондентов внесла необходимые корректировки в собственную стратегию информационной безопасности для своевременного реагирования на эти угрозы.
Стратегия информационной безопасности
Залогом успеха и в то же время ключевой движущей силой успешного перехода на облачные вычисления остается информационная безопасность. 59% опрошенных респондентов планируют увеличить свой бюджет на информационную безопасность в течение следующих 12 месяцев. При этом только у 52% респондентов присутствует задокументированная стратегия информационной безопасности. Данные показатели – неограниченность, IТ-сервисы в облаке и "оцифровывание" бизнеса – требуют выработки продуманной стратегии и аккуратных действий. Специальные решения, которые могли быть полезны в прошлых практиках, не являются рациональным решением в будущем. Следует понимать, что банальное увеличение бюджета без наличия грамотно проработанной стратегии не обеспечит достаточной защиты данных.
Наиболее интересные результаты исследовании |
|
| 31% |
отметили, что закупаемые решения по информационной безопасности не в полной мере соответствуют начальным требованиям |
| 49% | отметили, что используемые функции информационной безопасности удовлетворяют требованиям их организации |
| 56% | утверждают, что собственная стратегия по информационной безопасности требует изменений или дополнительного изучения |
| 57% |
отметили, что внесли необходимые поправки в свою политику информационной безопасности, связанные с использованием мобильных устройств |
| 61% | уже приняли решение или рассматривают возможность использования сервисов на базе облачных вычислений в ближайшие 12 месяцев |
| 66% | не внедрили средства предотвращения потери данных |
| 84% | отметили, что используют или собираются использовать программу по управлению IT-рисками в ближайшие 12 месяцев |
| 90% | убеждены в том, что внешняя сертификация повысит уровень доверия к облачным вычислениям |
Исследование показывает, что не все компании имеют в достаточной мере проработанную стратегию информационной безопасности: только 12% респондентов поднимают вопросы информационной безопасности на каждом заседании совета директоров, и менее половины опрошенных (49%) респондентов отмечают, что функции информационной безопасности отвечают требованиям их организации.
В рамках исследования респонденты ответили на широкий круг вопросов, касающихся использования облачных вычислений и обеспечения безопасности данных. Были опрошены свыше 1700 менеджеров, вовлеченных в управление информационной безопасностью, из более чем 50 стран мира. Исследование охватило все основные индустрии бизнеса. Наибольшая часть респондентов – представители финансового сектора (28%), индустриальных (16%) и телекоммуникационных (4%) компаний. Кроме того, в исследовании участвовали представители энергетических компаний, нефтяной и химической отраслей, некоммерческих организаций, а также представители сектора розничных продаж.
Опрос проводился как методом интервьюирования, так и с помощью заполнения анкеты на специализированном интернет-сайте.
До тех пор пока информационная безопасность не будет являться частью предоставляемых сервисов, продуктов и частью общей стратегии компании, она не будет восприниматься как движущий фактор повышения показателей бизнеса.
Заключение
По результатам исследования были сформулированы рекомендации, направленные на улучшение уровня управления информационной безопасностью в разрезе использования мобильных технологий и, как вариант, передачи данных компании в облако (безусловно, важность и приоритеты выполнения рекомендаций в значительной мере зависят от специфики и структуры бизнеса конкретной организации):
- Перенести информационную безопасность в область стратегического управления бизнесом.
- Применять интегрированный подход к управлению рисками.
- Уделить особое внимание рискам, связанным с использованием мобильных технологий и облачных сервисов.
- Поднять интерес представителей высшего руководства к вопросам управления информационной безопасностью.
- Сфокусировать внимание на повышении эффективности обучающих программ и программ по повышению осведомленности пользователей по вопросам обеспечения информационной безопасности.
- Определить требования по информационной безопасности и способы их контроля при взаимодействии с провайдерами облачных сервисов.
- Обозначить стратегию использования мобильных технологий, определить процедуру управления мобильными устройствами и связанными с ними приложениями, разработать и внедрить систему внутреннего контроля, нацеленного на минимизацию рисков и угроз, связанных как с использованием мобильных технологий, так и с процессами перехода на облачные вычисления.
Комментарий эксперта
Владимир Старцев
Руководитель направления информационной безопасности ООО “СК Цюрих"
Развитие информационных технологий последних лет серьезно затрагивает процессы многих компаний, включая страховой бизнес. Для IT-поддержки в рамках принятой бизнес-модели страховой компании "Цюрих" особенно актуальны аспекты информационной безопасности, связанные с использованием удаленного доступа и мобильных устройств. Результаты исследования, отражающие основные мировые тренды информационной безопасности, помогают нам заранее быть готовыми к изменяющемуся ландшафту ИБ-рисков и своевременно выявлять новые ИБ-риски, тем самым обеспечивая безопасную информационную среду для ведения основного бизнеса.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2011
