Результаты исследования "Эрнст энд Янг" в области информационной безопасности за 2009 г.

Текущая экономическая ситуация: новые угрозы

В прошедшем году мы оказались свидетелями беспрецедентных изменений в мировой экономике. Необходимость снижения затрат и ужесточение законодательных и нормативных требований, поставившие перед организациями новые задачи, связаны с новыми рисками, способными существенно повлиять на стратегию и деятельность компаний в области информационной безопасности.

Результаты исследования "Эрнст энд Янг" свидетельствуют о ежегодном росте числа организаций, испытывающих нехватку компетентных и подготовленных сотрудников. Другая ключевая проблема, с которой столкнулись руководители компаний, принявшие участие в исследовании, – поиск адекватного бюджета для функции информационной безопасности. Эти факты ясно показывают, что текущие экономические тенденции отразились на информационной безопасности, так же как и на остальных корпоративных функциях. В 2009 г. ключевой задачей ответственных лиц стал поиск решений, направленных на повышение эффективности и результативности деятельности функции ИБ и сведению к минимуму сопутствующих затрат.

Существующее положение дел в экономике также способствует росту уровня внутренних и внешних угроз. Одной из характерных для прошедшего года угроз, напрямую связанных с негативными тенденциями в экономике, стала возможность злонамеренных действий со стороны недавно уволенных сотрудников. Руководители подразделений информационной безопасности также отмечают значительный всплеск внешних атак на Web-ресурсы и корпоративные сети.

Соблюдение нормативных требований по-прежнему остается одной из наиболее приоритетных задач для функции ИБ. Во многих странах и отраслях происходит ужесточение требований в области защиты ПД, сообразно этому возрастают и расходы организаций на обеспечение соответствия таким требованиям.

Управление рисками: фокус на информацию

В последние годы произошли качественные изменения в технологиях передачи и обработки информации. Глобализация сегодняшнего бизнеса требует доступности ключевых информационных ресурсов в любой точке земного шара, что влечет за собой распространение беспроводных и широкополосных каналов связи и ведет к изменению подхода к использованию информации и технологий. Соответственно в настоящее время происходит трансформация концепции управления рисками информационной безопасности: подход "защитим периметр, и все будет хорошо" уступает место необходимости обеспечивать безопасность непосредственно информации вне зависимости от ее физического местонахождения. Одним из ключевых компонентов данного подхода является управление рисками ИБ, присущими защищаемой информации.

Важнейшим приоритетом развития функции ИБ компаний является совершенствование процесса управления рисками. По данным исследования, 50% опрошенных руководителей собираются увеличить финансирование в данном направлении, а 39% – планируют сохранить объем инвестиций на прежнем уровне.

Финансовый кризис вносит свои коррективы в деятельность любой компании, и повышенное внимание к вопросам управления рисками способствует достижению целей в области информационной безопасности в условиях ограниченных ресурсов. Именно за счет грамотного управления рисками ИБ возможны разумное обоснование необходимых мероприятий в области ИБ перед руководством и, как следствие, эффективное управление бюджетом ИБ. При этом руководство также осознает потенциальные последствия сокращения бюджета на ИБ, принимая те или иные риски.

Исследование показало, что уровень внешних и внутренних угроз ИБ продолжает расти. Так, 41% респондентов отметили повышение количества атак извне, 25% – рост числа внутренних атак, а 13% – рост числа попыток мошенничества со стороны инсайдеров.

Как видно из результатов исследования, фокус угроз продолжает смещаться внутрь компаний (и внутрь приложений), в результате стандартные меры и средства защиты от атак извне, применяемые, как правило, на уровне инфраструктуры, уже давно являются недостаточными. Наиболее очевидным решением представляется применение риск-ориентированного подхода к вопросам управления информационной безопасностью для определения наиболее значимых для компании угроз (как внутренних, так и внешних, связанных в первую очередь с наиболее критичными информационными ресурсами) и принятие соответствующих мер для минимизации рисков.

По итогам опроса выяснилось, что 75% респондентов обеспокоены (33% сильно обеспокоены) попытками мести со стороны сотрудников, недавно уволенных из их организаций. При этом лишь 42% респондентов пытаются получить представление о потенциальных рисках, связанных с этим вопросом, и только 26% принимают конкретные меры по минимизации этих рисков.

В настоящее время, когда нередки случаи сокращения персонала, организациям необходимо иметь четкий набор контрмер, направленных на снижение рисков и минимизацию потенциального ущерба, связанного с действиями увольняемых или уволенных сотрудников. Как правило, такие меры должны быть интегрированы в стандартные процессы управления доступом и не должны требовать больших усилий или финансовых затрат на внедрение, являясь в большей степени вопросом формализации текущих процессов. Тем удивительнее полученные результаты.

Все больше руководителей функции ИБ в компаниях по всему миру начинают понимать, что для того, чтобы деятельность в области информационной безопасности отвечала целям компании, необходимо составить представление о ключевых информационных потоках в организации и ориентировать инициативы в области ИБ на защиту критичной для компании информации в зависимости от актуальности тех или иных угроз. В настоящее время происходит смещение позиционирования функции ИБ из компонента информационных технологий в отдельный процесс, ориентированный непосредственно на информацию, а не на информационные технологии, используемые для ее обработки и хранения.

ИБ и операционная эффективность: поиск компромисса

В целом проблемы, присущие эффективному решению задач информационной безопасности, не претерпели существенных изменений за последние несколько лет. Нехватка человеческих ресурсов, недостаточные бюджеты и низкий уровень культуры в области информационной безопасности в компаниях остаются наиболее приоритетными вопросами. Однако в этом году исследование показывает увеличение числа организаций, испытывающих нехватку персонала и бюджета. Это лишний раз подтверждает зависимость функции информационной безопасности от общих экономических тенденций, так же как и прочих корпоративных функций, для эффективной работы которых требуются постоянные инвестиции.

В 2009 г. задача выделения бюджета на нужды информационной безопасности остается весьма непростой. 50% респондентов оценивают степень ее важности как высокую или значительную, что на 17% превышает прошлогодние показатели. Этот результат особенно важен в свете того, что 40% опрошенных планируют увеличить долю в суммарных расходах, направляемую на информационную безопасность, а 52% намерены сохранить эти затраты на прежнем уровне.

Стоит отметить, что 44% организаций, принявших участие в опросе, до сих пор не имеют формализованной стратегии информационной безопасности. В условиях отсутствия продуманной стратегии представляется затруднительным обосновать и продемонстрировать необходимость выделения средств на задачи информационной безопасности, тем более учитывая сегодняшнюю ситуацию на рынке. Без четкой стратегии сложно выбрать наиболее приоритетные направления, требующие финансирования, и убедиться в том, что дефицитные ресурсы выделены именно на те задачи, решение которых приносит наибольшую отдачу. Внедрение риск-ориентированного подхода позволит компаниям правильно обозначить приоритетные области, оценить эффективность планируемых затрат на информационную безопасность и получить максимальную отдачу от уже сделанных капиталовложений.

Как показали результаты исследования, наиболее острым для руководства являлся вопрос нехватки квалифицированного персонала для решения задач информационной безопасности – с этим утверждением согласились 56% опрошенных.

Одним из вариантов решения данной проблемы является ко-сорсинг или аутстафинг персонала: при таком подходе постановкой задач и общим руководством проведения работ занимается менеджер со стороны компании-заказчика, в то время как непосредственное выполнение работ осуществляется сотрудниками компании, предоставляющей услуги. Аутстафинг позволяет решить проблему нехватки квалифицированных ресурсов и вместе с тем не предполагает передачу контроля над информационной безопасностью внешним организациям.

Программа повышения осведомленности сотрудников в отношении вопросов информационной безопасности, согласно результатам исследования, реализована в 74% организаций. Однако менее половины респондентов рассматривают в собственных программах такие немаловажные аспекты, как распространение оповещений об актуальных для организации угрозах (44%), передача информационных сводок по новым "горячим" темам (42%), проведение специальных мероприятий для пользователей, входящих в группы повышенного риска (35%). Следует отметить, что 73% компаний не планируют прибегать к услугам сторонних организаций для разработки программ повышения осведомленности сотрудников и проведения обучения в области информационной безопасности.

Во многих случаях представляется целесообразным использовать помощь внешних организаций для планирования, проведения и оценки эффективности программ повышения осведомленности сотрудников, а также их обучения в области информационной безопасности.

Одной из ключевых проблем, отмечаемых большинством руководителей ИБ, является отсутствие установленных эффективных коммуникаций ИБ с представителями бизнеса, которые зачастую воспринимают информационную безопасность как функцию, мешающую им работать и не приносящую никакой ощутимой пользы.

Упомянутые проблемы не являются новыми, но они приобретают все большее значение в условиях текущей экономической ситуации. Руководители, ответственные за информационную безопасность, должны искать новые способы решения таких задач, а операционная эффективность - рассматриваться как неотъемлемый аспект любого проводимого проекта в области информационной безопасности.

Соблюдение нормативных требований - один из основных движущих факторов развития ИБ

Исследование позволило выяснить, что задача соблюдения нормативных требований продолжает оставаться одним из приоритетов руководителей отделов информационной безопасности, сохраняя свое значение как движущего фактора инициатив в данной области. 31% респондентов назвали соблюдение нормативных требований важной задачей, а 46% - крайне важной.

Внедрение мер, направленных на соответствие нормативным требованиям (ФЗ № 152 "О персональных данных", СТО БР ИББС, положение № 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" и др.), сегодня является действительно "горячей" темой и одним из ключевых векторов развития информационной безопасности в России.

В ответ на вопрос об изменении расходов на обеспечение соблюдения нормативных требований 55% опрошенных указали, что затраты на эти цели привели к росту общих расходов на обеспечение информационной безопасности, при этом степень роста оценивается ими как умеренная или значительная. Лишь 6% респондентов планируют сократить затраты на обеспечение соблюдения нормативных требований в течение следующего года.

Для 36% компаний, принявших участие в исследовании, задача соблюдения нормативных требований не способствовала повышению результативности и эффективности информационной безопасности. Это может свидетельствовать о том, что организации тратят избыточные средства на достижение формального соответствия требованиям, при этом вложенные средства и усилия, будучи направленными на решение узкой задачи, не интегрированной с общими стратегическими целями развития ИБ, действительно зачастую расходуются впустую.

С другой стороны, переход к более риск-ориентированной стратегии обеспечения информационной безопасности и интеграция вопросов соответствия нормативным требованиям в общую корпоративную систему управления ИБ позволит организациям сократить затраты на демонстрацию формального соответствия, направив их на более значимые для целей организации задачи.

Большинство руководителей имеют четкое представление о законодательных и нормативных актах в области защиты персональных данных, которые могут оказать влияние на организацию (так ответили 68% опрошенных). Однако инвентаризацию информационных ресурсов, на которые распространяется действие законов, провели лишь 32% компаний, и только в 26% случаев была проведена оценка жизненного цикла персональных данных (сбор, обработка, хранение, передача и уничтожение).

Руководителям компаний необходимо понять, насколько операционная деятельность их организаций связана с обработкой персональных данных, и определить ключевых представителей бизнес-функций, с помощью которых можно было бы удостовериться, что бизнес-процессы и операции выполняются без нарушений нормативных требований в области персональных данных. Необходимо определить все применимые требования, существующие в различных странах и регионах деятельности организации. В этих вопросах нелишним будет получить консультации юридических служб компании. Планируя деятельность по обеспечению соблюдения нормативных требований, необходимо ориентироваться на долгосрочную перспективу и стремиться направлять инвестиции на построение системы управления информационной безопасностью. Используя такой подход, становится возможным подчинить деятельность по соблюдению нормативных требований основным целям компании в области информационной безопасности.

Применение новых технологий: новые преимущества и угрозы

Задача обеспечения информационной безопасности становится для организаций все более сложной на фоне распространения новых технологий и сервисов, таких как социальные сети, виртуализация, облачные вычисления, радиочастотная идентификация (RFID) и т.д.

При рассмотрении возможности применения новых технологий руководителям компаний следует ответить на два вопроса, относящихся к информационной безопасности:

1. Какие технологии позволили бы организации усовершенствовать программу информационной безопасности?
2. Какие меры организация принимает для того, чтобы управлять рисками, возникающими вследствие использования новых технологий?

На работу компаний, несомненно, влияют новые технологии, в особенности виртуализация и облачные вычисления. В текущей экономической ситуации виртуализация предлагает новые возможности по снижению затрат, повышению управляемости и общей эффективности использования ИТ. Возможности по сокращению затрат за счет использования виртуализации (путем более рационального использования ИТ-ресурсов, таких как каналы связи, серверы и хранилища данных) могут быть значительными. Но нельзя забывать и о вопросах информационной безопасности.

Как показало исследование, 78% респондентов уже используют технологии виртуализации или планируют их внедрение до конца 2009 г. Однако только 18% из них сообщают, что обеспокоены по поводу влияния новых технологий на состояние информационной безопасности.

Технологии виртуализации и облачных вычислений приобретают все большее распространение, однако немногие должным образом задумываются об угрозах информационной безопасности, которые присущи данным технологиям. В процессе принятия решения о внедрении той или иной технологии обязательно должны учитываться соответствующие риски информационной безопасности. Важно, чтобы обещанные поставщиком преимущества не повлияли на уровень защищенности информационных ресурсов организации.

Текущая экономическая ситуация и обусловленные ею риски, безусловно, оказали свое влияние на повышение актуальности и востребованности отдельных технологий обеспечения информационной безопасности. В частности, внедрение или совершенствование технологий по предотвращению утечки данных (DLP) занимает второе по приоритетности место среди задач на ближайший год. Это направление указали в качестве одной из трех основных задач 40% респондентов.

Участившиеся случаи утечки конфиденциальных данных привели к тому, что их предотвращение стало приоритетной задачей руководителей отделов информационной безопасности.

Среди наиболее поразительных результатов исследования – неожиданно малое число компаний, которые шифруют данные в ноутбуках. В настоящее время такое шифрование выполняют лишь 41% опрошенных, при этом всего 17% планируют внедрить такую практику в следующем году.

Технологии шифрования данных являются достаточно зрелыми в настоящее время: они доступны для внедрения по разумной цене. Влияние такого внедрения на удобство работы пользователей относительно невелико. В то же время случаи кражи или утраты ноутбуков не являются редкостью и несут в себе значительный риск, которым необходимо управлять.

Новые развивающиеся технологии могут дать значительные преимущества для реализации корпоративной системы управления информационной безопасностью. Однако необходимо помнить, что внедрению таких технологий должна предшествовать всесторонняя и объективная оценка последствий их внедрения – как позитивных, так и негативных. Каждой организации необходимо определить свое отношение к новым архитектурным моделям ИТ, таким как виртуализация и облачные вычисления, для того чтобы удостовериться, что все принимаемые решения соответствуют бизнес- и ИТ-страте-гии компании.