Ин­фор­ма­ци­он­ная без­опас­ность – 2018: то, что про­ис­хо­дит се­год­ня, свя­за­но с ошиб­ка­ми пла­ни­ро­ва­ния

Ин­фор­ма­ци­он­ная без­опас­ность иг­ра­ет для пред­при­я­тий все бо­лее ве­со­мую роль, но мно­гим ком­па­ни­ям по-преж­не­му нелег­ко да­ет­ся раз­ра­бот­ка необ­хо­ди­мых пла­нов

Direktor informatsionnoj sluzhby - - СОДЕРЖАНИЕ «ДИРЕКТОР ИНФОРМАЦИОННОЙ СЛУЖБЫ» (CIO.R - ДЖОШ ФРУЛИНГЕР

Без­опас­ность ИТ име­ет ре­ша­ю­щее зна­че­ние для лю­бо­го биз­не­са, но по­ня­тие это на­столь­ко все­объ­ем­лю­щее, что по­лу­чить пред­став­ле­ние о ре­аль­ном по­ло­же­нии дел в от­рас­ли и пер­спек­ти­вах раз­ви­тия на бу­ду­щее очень слож­но. Вот по­че­му еже­год­но из­да­ние CSO сов­мест­но с ком­па­ни­ей PwC про­во­дит опрос ру­ко­во­ди­те­лей служб тех­ни­че­ской без­опас­но­сти во всем ми­ре, с тем что­бы по­нять, ка­кая си­ту­а­ция сло­жи­лась на се­го­дняш­ний день.

Опрос «Гло­баль­ное со­сто­я­ние ин­фор­ма­ци­он­ной без­опас­но­сти в 2018 го­ду» был про­ве­ден сре­ди читателей CIO и CSO, а так­же кли­ен­тов PwC. Со­от­вет­ству­ю­щий от­чет был со­став­лен по ито­гам от­ве­тов бо­лее чем

9,5 тыс. ге­не­раль­ных и фи­нан­со­вых ди­рек­то­ров, ру­ко­во­ди­те­лей ин­фор­ма­ци­он­ных служб, ди­рек­то­ров по без­опас­но­сти и ин­фор­ма­ци­он­ной без­опас­но­сти, ви­це-пре­зи­ден­тов, ИТ-ди­рек­то­ров и спе­ци­а­ли­стов по без­опас­но­сти из 120 стран.

Ре­зуль­та­ты про­ве­ден­но­го ис­сле­до­ва­ния да­ют от­ве­ты на сле­ду­ю­щие во­про­сы:

Кто несет от­вет­ствен­ность за без­опас­ность? На что тра­тят­ся вы­де­ля­е­мые сред­ства и ка­кие ме­ро­при­я­тия пла­ни­ру­ют­ся в этой сфе­ре?

Ка­ко­вы су­ще­ству­ю­щие тех­но­ло­ги­че­ские тен­ден­ции, с ко­то­ры­ми при­хо­дит­ся стал­ки­вать­ся спе­ци­а­ли­стам по без­опас­но­сти?

КТО ОТ­ВЕ­ЧА­ЕТ ЗА БЕЗ­ОПАС­НОСТЬ?

Лю­ди, воз­глав­ля­ю­щие на­прав­ле­ние ин­фор­ма­ци­он­ной без­опас­но­сти, как пра­ви­ло, вхо­дят в со­став выс­ше­го ру­ко­вод­ства ком­па­ний. У 52% ком­па­ний, при­ни­мав­ших уча­стие в опро­се, име­ет­ся долж­ность ди­рек­то­ра по ин­фор­ма­ци­он­ной без­опас­но­сти, а у 45% – ди­рек­то­ра по без­опас­но­сти. Спе­ци­а­ли­сты, за­ни­ма­ю­щие эти долж­но­сти, под­чи­ня­ют­ся обыч­но непо­сред­ствен­но гла­ве ор­га­ни­за­ции. Толь­ко 24% на­хо­дят­ся в под­чи­не­нии у ди­рек­то­ра ИТслуж­бы; все же осталь­ные под­чи­ня­ют­ся ли­бо ге­не­раль­но­му ди­рек­то­ру (40%), ли­бо со­ве­ту ди­рек­то­ров (27%).

Но, ко­гда мы на­чи­на­ем спус­кать­ся по иерар­хи­че­ской пи­ра­ми­де ни­же, си­ту­а­ция ста­но­вит­ся бо­лее за­пу­тан­ной. Ме­нее чем у по­ло­ви­ны ком­па­ний, при­ни­мав­ших уча­стие в опро­се, име­ют­ся спе­ци­аль­ные со­труд­ни­ки, за­ни­ма­ю­щи­е­ся обес­пе­че­ни­ем без­опас­но­сти внут­рен­них биз­нес-опе­ра­ций. Толь­ко 46% ре­спон­ден­тов со­об­щи­ли об объ­еди­не­нии в их ор­га­ни­за­ци­ях во­про­сов ин­фор­ма­ци­он­ной и фи­зи­че­ской без­опас­но­сти, лишь у 43% в про­грам­му ин­фор­ма­ци­он­ной без­опас­но­сти вклю­че­ны функ­ции кон­фи­ден­ци­аль­но­сти, а бо­лее чет­вер­ти опро­шен­ных не зна­ют, ка­кую по­зи­цию по это­му по­во­ду за­ни­ма­ет их ком­па­ния.

ОШИБ­КИ ПЛА­НИ­РО­ВА­НИЯ

Чис­ло ком­па­ний, раз­ра­ба­ты­ва­ю­щих кон­крет­ные стра­те­гии без­опас­но­сти, ока­за­лось не так уж ве­ли­ко. Лишь у 56% стра­те­гия ин­фор­ма­ци­он­ной без­опас­но­сти бы­ла сфор­му­ли­ро­ва­на в це­лом.

Что же ка­са­ет­ся тех­но­ло­гий без­опас­но­сти в спе­ци­фич­ных об­ла­стях, здесь циф­ры еще ху­же – до­ля не пре­вы­ша­ет 50%. Пе­ре­чис­лим эти об­ла­сти: со­ци­аль­ные ме­диа – 44%; боль­шие дан­ные – 44%; об­лач­ные вы­чис­ле­ния – 46%; мо­биль­ные устрой­ства – 47%.

Непо­сред­ствен­ное уча­стие в раз­ра­бот­ке стра­те­гии без­опас­но­сти в це­лом со­ве­ты ди­рек­то­ров при­ни­ма­ют ме­нее чем у по­ло­ви­ны ком­па­ний. До сих пор во мно­гих ор­га­ни­за­ци­ях со­ве­ты ди­рек­то­ров не име­ют ни­ка­ко­го от­но­ше­ния к кон­тро­лю за по­все­днев­ны­ми опе­ра­ци­я­ми.

БЕЗ­ОПАС­НОСТЬ – ПРО­ЦЕСС НЕПРЕРЫВНЫЙ

Мно­гие из буд­нич­ных, но жиз­нен­но необ­хо­ди­мых мер без­опас­но­сти вклю­ча­ют в се­бя по­вто­ря­ю­щи­е­ся ме­ры – не слиш­ком при­вле­ка­тель­ные, но за­ча­стую очень важ­ные для под­го­тов­ки ор­га­ни­за­ции к за­щи­те от атак.

В боль­шом чис­ле ор­га­ни­за­ций та­кие ме­ры не яв­ля­ют­ся при­о­ри­тет­ны­ми, и толь­ко око­ло по­ло­ви­ны опро­шен­ных от­ме­ти­ли, что их ком­па­нии при­ла­га­ют зна­чи­тель­ные уси­лия в этом от­но­ше­нии. Пе­ре­чис­лим, ка­ким ме­рам, име­ю­щим от­но­ше­ние к без­опас­но­сти, уде­ля­ет­ся вни­ма­ние: по­вы­ше­ние уров­ня ин­фор­ми­ро­ван­но­сти – 52%; про­грам­ма для вы­яв­ле­ния важ­ных ак­ти­вов – 46%; оцен­ка уяз­ви­мо­сти – 46%; ре­ак­ция в рам­ках управ­ле­ния ин­ци­ден­та­ми – 46%; те­сти­ро­ва­ние на пред­мет воз­мож­но­стей про­ник­но­ве­ния – 42%.

КУ­ДА И ПО­ЧЕ­МУ УХО­ДЯТ ДЕНЬ­ГИ?

Во­про­сы ин­фор­ма­ци­он­ной без­опас­но­сти в ор­га­ни­за­ци­ях за­ча­стую счи­та­ют по­гло­ти­те­ля­ми фи­нан­со­вых средств, да­ле­ко не все­гда при­но­ся­щи­ми же­ла­е­мую от­да­чу. Чем опре­де­ля­ет­ся вы­бор на­прав­ле­ний за­трат в ком­па­ни­ях, при­ни­мав­ших уча­стие в нашем опро­се? При­ве­дем па­ру до­воль­но ин­те­рес­ных ре­зуль­та­тов:

49% опро­шен­ных утвер­жда­ют, что затра­ты на без­опас­ность за­ви­сят исключительно от оцен­ки рис­ков;

66% от­ме­ти­ли, что в их ор­га­ни­за­ци­ях рас­хо­ды опре­де­ля­ют­ся до­хо­да­ми каж­до­го из на­прав­ле­ний биз­не­са.

Воз­ни­ка­ет во­прос: ве­дет­ся ли в ком­па­ни­ях «борь­ба с по­жа­ра­ми» по­всю­ду, где они по­яв­ля­ют­ся, или же за­щи­тить стре­мят­ся лишь наи­бо­лее цен­ные ак­ти­вы? Ин­те­рес­но так­же, ка­ко­ва сте­пень рас­пы­ле­ния рас­хо­дов меж­ду раз­об­щен­ны­ми ак­ти­ва­ми. В лю­бом слу­чае вы­со­ко­тех­но­ло­гич­ные опе­ра­ции нуж­да­ют­ся в за­щи­те: 59% опро­шен­ных за­яви­ли, что по­сле пе­ре­во­да эко­си­сте­мы биз­не­са на циф­ро­вые рель­сы их ком­па­нии ста­ли ин­ве­сти­ро­вать в без­опас­ность боль­ше.

РОБОТЫ И ГА­Д­ЖЕ­ТЫ

Роботы, устрой­ства Ин­тер­не­та ве­щей и дру­гие рас­пре­де­лен­ные встро­ен­ные си­сте­мы на­чи­на­ют из про­из­ве­де­ний на­уч­ной фан­та­сти­ки пе­ре­ме­щать­ся в ре­аль­ный мир и нуж­да­ют­ся в за­щи­те. Неко­то­рые ком­па­нии уже внед­ря­ют у се­бя ро­бо­тов, и их бес­по­кой­ство в от­но­ше­нии угроз без­опас­но­сти вполне обос­но­ван­но: 40% опа­са­ют­ся ки­бе­р­атак, ко­то­рые мо­гут при­ве­сти к на­ру­ше­нию про­из­вод­ствен­ных про­цес­сов, а 22% го­во­рят да­же о по­тен­ци­аль­ной угро­зе жиз­ни лю­дей.

Га­д­же­ты Ин­тер­не­та ве­щей, на­вер­ное, не столь опас­ны для жиз­ни, но это не мо­жет стать по­во­дом для са­мо­успо­ко­е­ния. 67% ком­па­ний уже име­ют или пла­ни­ру­ют стра­те­гию в от­но­ше­нии Ин­тер­не­та ве­щей, но толь­ко 34% оце­ни­ва­ют рис­ки Ин­тер­не­та ве­щей для биз­не­са. Кто кон­крет­но от­ве­ча­ет за без­опас­ность Ин­тер­не­та ве­щей? От­ве­ты ре­спон­ден­тов та­ко­вы: 29% ука­зы­ва­ют на ди­рек­то­ра по ин­фор­ма­ци­он­ной без­опас­но­сти, 20% – на ин­же­нер­ный пер­со­нал, а 17% на­зы­ва­ют от­вет­ствен­ным ди­рек­то­ра по рис­кам.

ЗА­ЩИ­ТА ОБ­ЛА­КА

Не­смот­ря на то что толь­ко у 46% ком­па­ний име­ет­ся стра­те­гия обес­пе­че­ния без­опас­но­сти об­лач­ных вы­чис­ле­ний, пе­ре­ход в об­ла­ко про­ис­хо­дит, и про­ис­хо­дит быст­ро. Уже сей­час 46% опро­шен­ных утвер­жда­ют, что боль­шая часть ИТ­сер­ви­сов у них до­став­ля­ет­ся че­рез об­ла­ко, а 60% рас­счи­ты­ва­ют на то, что это про­изой­дет в те­че­ние бли­жай­ших пя­ти лет. Ес­ли го­во­рить о дан­ных, то тут по­ло­же­ние дел ме­ня­ет­ся еще быст­рее: 40% уже хра­нят важ­ные дан­ные в раз­лич­ных об­лач­ных ре­сур­сах, а 36% пла­ни­ру­ют про­де­лать это в бли­жай­шие год-пол­то­ра.

А те­перь пе­рей­дем к ис­поль­зо­ва­нию мо­де­лей об­лач­ных вы­чис­ле­ний (учти­те, что каж­дой из них при­су­щи свои соб­ствен­ные проблемы, свя­зан­ные с без­опас­но­стью): пуб­лич­ное об­ла­ко – 34%; част­ное об­ла­ко – 55%; ги­брид­ная мо­дель – 29%.

ДРАГОЦЕННЫЕ ДАН­НЫЕ

Ком­па­нии на­чи­на­ют по­ни­мать, что кли­ент­ские дан­ные яв­ля­ют­ся од­ним из са­мых цен­ных ак­ти­вов, а их утеч­ка мо­жет при­ве­сти к фа­таль­ным по­след­стви­ям. К со­жа­ле­нию, лишь око­ло по­ло­ви­ны ор­га­ни­за­ций при­ни­ма­ют ме­ры для за­щи­ты этой ин­фор­ма­ции:

53% ком­па­ний тре­бу­ют от со­труд­ни­ков изу­че­ния по­ли­ти­ки кон­фи­ден­ци­аль­но­сти и при­ня­тия мер по за­щи­те со­от­вет­ству­ю­щих дан­ных;

49% огра­ни­чи­ва­ют воз­мож­но­сти сбо­ра пер­со­наль­ной ин­фор­ма­ции, ее хра­не­ния и до­сту­па к ней тем ми­ни­маль­ным объ­е­мом, ко­то­рый необ­хо­дим со­труд­ни­кам для вы­пол­не­ния их ле­ги­тим­ных функ­ций;

51% сле­дят за про­цес­сом сбо­ра, пе­ре­да­чи и хра­не­ния пер­со­наль­ных дан­ных сво­и­ми со­труд­ни­ка­ми.

Тем не ме­нее мож­но утвер­ждать, что ком­па­нии по­сте­пен­но на­чи­на­ют осо­зна­вать при­о­ри­тет­ность куль­ту­ры за­щи­ты кон­фи­ден­ци­аль­ной ин­фор­ма­ции: 67% опро­шен­ных со­об­щи­ли, что за со­блю­де­ни­ем со­от­вет­ству­ю­щих пра­вил сле­дит ди­рек­тор по кон­фи­ден­ци­аль­но­сти или спе­ци­аль­ный со­труд­ник, а 12% пла­ни­ру­ют вве­сти у се­бя та­кую долж­ность в те­че­ние бли­жай­ше­го го­да.

Непо­сред­ствен­ное уча­стие в раз­ра­бот­ке стра­те­гии без­опас­но­сти в це­лом со­ве­ты ди­рек­то­ров при­ни­ма­ют ме­нее чем у по­ло­ви­ны ком­па­ний

Толь­ко 24% ком­па­ний не име­ют пла­нов в бли­жай­шее вре­мя пе­ре­но­сить важ­ные дан­ные в об­ла­ко

Лишь у 56% ком­па­ний стра­те­гия ин­фор­ма­ци­он­ной без­опас­но­сти бы­ла сфор­му­ли­ро­ва­на в це­лом

67% ком­па­ний уже име­ют или пла­ни­ру­ют стра­те­гию в от­но­ше­нии Ин­тер­не­та ве­щей

66% от­ме­ти­ли, что в их ор­га­ни­за­ци­ях рас­хо­ды опре­де­ля­ют­ся до­хо­да­ми каж­до­го из на­прав­ле­ний биз­не­са

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.