В программах для обеспечения безопасности слишком много внимания уделяется вопросам соответствия требованиям
07.04.2010
Согласно новому исследованию от Forrester Research, предприятия тратят огромные средства на программы соответствия стандартам безопасности, подобным PCI-DSS и HIPAA, однако фонды эти могут уходить в неправильное русло в свете тех приоритетов, которые указаны в большинстве программ обеспечения информационной безопасности.
К примеру, несмотря на то, что интеллектуальная собственность составляет до 62 процентов всех активов компаний, основной упор при создании их систем безопасности делается на соответствие стандартам и правилам. По итогам исследования выяснилось, что большинство управляющих, ответственных за корпоративную безопасность, понимают истинное значение информационных активов, однако все равно ориентируют программы обеспечения безопасности на соответствие требованиям, а не на реальную защиту.
Авторы отчета пишут, что 80% бюджетов, выделенных на безопасность, расходуется на две цели: соответствие требованиям и защиту важной корпоративной информации, при этом суммы распределяются примерно поровну (по 40%). Однако секреты фирм занимают до 62% их информационного портфеля, в то время как на долю стандартизованных данных приходится всего 38%.
Участие в опросе приняли 300 старших IT-менеджеров. Они сообщили, что 41% бюджетов на безопасность идет на программы, не связанные с вопросами соответствия требованиям, а 39% уходит строго на них.
Эксперты Forrester также указывают: несмотря на то, что случайные утечки данных и взлом являются наиболее распространенными рисками, преднамеренная кража наносит в 10 раз больший финансовый ущерб. Впрочем, вне зависимости от числа и степени тяжести таких эпизодов, IT-персонал по-прежнему склонен считать, что развернутые инструменты контроля работают хорошо. На основании этого исследователи приходят к выводу, что организации в большинстве своем не отдают себе отчета в том, эффективны их программы защиты данных или нет.
