Риски и тенденции в сфере обеспечения ИБ

Быстрота и сложность происходящих в информационном мире изменений не позволяют адаптировать системы обеспечения ИБ к возрастающим рискам и новым угрозам, несмотря на все предпринимаемые действия. При этом происходит разрыв между текущим и необходимым состоянием "как должно быть", обусловленный неактуальностью программы обеспечения ИБ. Если восемь лет назад подобный разрыв был минимальным, то на текущий момент для некоторых компаний этот разрыв - целая пропасть (рис. 1).

Причины подобного разрыва сложны настолько, насколько и сами проблемы, с которыми ежедневно сталкиваются специалисты в области ИБ. Судя по результатам исследования, все вопросы можно разделить на 4 категории:

1. унификация;
2. люди;
3. процессы;
4. технологии.

Также не стоит забывать о влиянии, которое оказывают государственные регуляторы и нормативные изменения в целях снижения рисков ИБ.

Скорость изменений и увеличение разрыва

Виртуализация, облачные технологии, социальные медиа, мобильные технологии остаются основными драйверами развития ИБ. Рост развивающихся рынков и финансовый кризис только усилили сложность вопросов обеспечения ИБ и важность их решения.

Организации существенно улучшили свои программы ИБ для противостояния появляющимся угрозам: добавили новые функции и компоненты в системы обеспечения ИБ, пересмотрели стратегии развития, увеличили численность персонала. Несмотря на подобные коррективы, несомненно улучшившие состояние ИБ, темпы роста технологических, функциональных и регуляторных изменений набирают обороты.

В 2009 г. 41% респондентов отмечали повышение количества внешних атак. Уже к 2011 г. это число выросло до 72%. В 2012 г. число респондентов, ощутивших рост внешних угроз, равняется 77%. Примерами возрастающих угроз могут служить хакерские атаки, спонсируемый шпионаж, организованная преступность или терроризм. В то же время почти половина респондентов (46%) заметила увеличение внутренних уязвимостей.

Без необходимых эффективных мер разрыв между необходимым и фактическим уровнями обеспечения И Б продолжает расти. Оставляя данный факт без внимания, компании сталкиваются с рисками, которые в конечном счете могут повлиять на их имя или занимаемые позиции на рынке.

Причины увеличения разрыва

На протяжении многих лет Ernst & Young выступает за то, что И Б должна больше позиционироваться за пределами IT-функций. Руководитель направления по ИБ должен присутствовать на заседаниях топ-менеджмента. Несколько лет назад они добивались больших успехов в достижении необходимых показателей по значимости для бизнеса (рис. 3).

Однако в последнее время риски, связанные с экономической нестабильностью и использованием новых технологий, увеличивают конкуренцию задачи обеспечения ИБ с другими приоритетными задачами на уровне совета директоров.

В результате, несмотря на то что ИБ движется в правильном направлении, ее функциям всегда необходимы повышенное внимание и ресурсы, для того чтобы идти в ногу со временем.

Развитие системы обеспечения ИБ не ориентировано на общую бизнес-стратегию компании

Эффективная стратегия развития ИБ должна распространяться на всю компанию и работать в едином тандеме со всем множеством различных функциональных областей внутри компании.

Поэтому для достижения максимального эффекта от мер по обеспечению ИБ цели в области информационной безопасности должны соответствовать не только общекорпоративной бизнес-стратегии, но и учитывать цели и задачи функциональных подразделений.

По сравнению с результатами предыдущих исследований больше респондентов указали, что их стратегия информационной безопасности взаимосвязана с IT-стратегией (рис. 3): значение данного показателя возросло с 33% в 2008 г. до 56% в 2012 г. Также выросло число респондентов, отметивших соответствие стратегии информационной безопасности бизнес-стратегии: с 18% в 2008 г. до 42% в 2012 г.

И все же в 2012 г.:

• только чуть более трети респондентов (38%) считают, что привели свою стратегию ИБ в соответствие со стратегией компании в части управления рисками;
• немногим более половины (54%) обсуждают тему И Б на заседаниях совета директоров на ежеквартальной основе или чаще. Остальные 46% почти никогда не обсуждали эту тему на уровне менеджмента.

Учитывая, что ИБ продолжает оставаться IT-ориентированной во многих организациях, не удивителен тот факт, что 63% респондентов отметили, что в их компаниях обязанности по обеспечению ИБ смешаны с IТ-функциями.

Некоторые IТ-директора являются своеобразной связкой между бизнесом и технологиями, которая может помочь привести ИБ в соответствие с бизнес- и IT-стратегиями. Тем не менее, смешивая IT- и не IT-специалистов, организации могут повысить общую эффективность ИБ.

Примечательно, что в 26% организаций ответственность за обеспечение И Б возложена на генерального, финансового или операционного директора, и только в 5% случаев - на директора по рискам (рис. 4).

Выбор сотрудника, ответственного за ИБ, становится критичным, когда дело доходит до выбора правильных инструментов, процессов и методов мониторинга угроз, оценки эффективности и понимания покрытия пробелов.

Традиционно IТ-специалисты не имеют полного понимания существующих рисков и способов их оценки, что, в свою очередь, имеет основополагающее значение для управления рисками. Это объясняет, почему 52% организаций не имеют программ по выявлению угроз.

Без дисциплинированного подхода к исследованию и мониторингу возникающих угроз IT-функция не только не в состоянии проактивно противодействовать существующим угрозам, но и не имеет возможности предвидеть угрозы, актуальные уже в ближайшем будущем.

Подобная ситуация только способствует увеличению разрыва между текущим состоянием обеспечения ИБ и необходимым состоянием "как должно быть".

Фундаментальные преобразования

Компании прилагают все усилия, чтобы идти в ногу со стремительно развивающимися технологиями и увеличивающимся числом угроз ИБ, но достигают различного успеха. Те компании, которые смогли минимизировать разрыв между текущим и необходимым состоянием И Б, имеют конкурентное преимущество.

Компаниям необходимо сделать четыре ключевых шага для того, чтобы изменить процесс выполнения функций ИБ:

1. Согласовать стратегию ИБ со стратегией развития бизнеса и ожидаемым результатом со стороны бизнеса.
2. Начать с чистого листа, когда стоит задача о выборе новых технологий или реорганизации архитектуры, для наилучшего понимания того, что необходимо сделать. Это поможет избежать существующих предубеждений и сломать барьеры, которые могут препятствовать фундаментальным изменениям.
3. Выполнить преобразования путем создания окружения, которое позволит компании успешно и рационально изменить путь развития ИБ.
4. Выбирая новые технологии, необходимо детально изучить возникающие возможности и риски. Социальные медиа, большие данные, облачные и мобильные технологии - уже в нашей жизни. Компании должны быть готовы к их использованию.

Связь с бизнес-стратегией

Как уже было показано в исследовании этого года, согласование ИБ с целями и стратегией бизнеса является жизненно важным для компании. Но будет ли что-то меняться при различных бизнес-целях компании? Для чего нужна стратегия ИБ?

В современных экономических условиях компании, как правило, концентрируют свои усилия на решении одной или нескольких задач, а именно:

• рост;
• инновации;
• оптимизация;
• защита.

Что компания должна предпринять для решения вышеуказанных задач, где ИБ играет ключевую роль?

Рост

Компании стремятся расширить свой бизнес на новых рынках и привлечь новых клиентов новыми продуктами. Все делается с целью получения доходов. Эффективная ИБ поможет защитить весь бизнес, защитить доходы и освободить ресурсы для дополнительных возможностей увеличения доходов.

Инновации

Для новых способов взаимодействия с клиентами компании используют новые технологии. Генерирующиеся данные должны быть защищены. В разрезе современных угроз эффективная ИБ позволит компании продемонстрировать лидерство в области безопасного взаимодействия с клиентами и их компаниями.

Оптимизация

Обеспечение ИБ требует денег, но бизнес не всегда тратит их мудро. Грамотно организованная информационная безопасность поможет сократить некоторые расходы.

Защита

Для построения доверительных отношений с клиентами компания нуждается в хорошо управляемой и прозрачной ИБ. Качественные и эффективные процедуры мониторинга и тестирования должны быть ключевыми компонентами всей системы обеспечения безопасности информации. Важно разработать стратегию и подход, а также план действий, который необходимо выполнить.

Успешное и рациональное выполнение преобразований

Фундаментальные преобразования не заканчиваются на этапе внедрения программы. Для того чтобы изменения заработали, необходимо (рис. 10):

• обязать руководителей отчитываться о результатах в течение всего срока действия программы;
• объединить всю компанию в рамках подхода преобразований - от планирования и внедрения программы до адаптации с целью достижения заявленных целей;
• постоянно прогнозировать, контролировать и управлять рисками на протяжении всех этапов обеспечения ИБ;
• полностью принимать новые решения до финального этапа внедрения программы ИБ, для того чтобы старые не имели возможности снова появиться в компании.

Глубокое погружение в новые технологии

Несмотря на риски, новые технологии обязательно должны присутствовать. Организации должны использовать их в своих интересах, чтобы расширить влияние и активизировать рост прибыли. Структура ИБ должна постоянно оценивать роль новых технологий и максимизировать свой потенциал, обеспечивая при этом безопасность.

С появлением средств виртуализации, мобильных и облачных технологий возросла угроза серьезных атак за счет увеличения числа точек входа в бизнес-организации. Случаи проникновения в информационные системы становятся более частыми, а способы промышленного шпионажа - более сложными. Высокие доходы за продажу подобной информации обеспечивают рост преступных организаций с беспрецедентной скоростью. Эти атаки могут привести к значительным финансовым потерям и ухудшению репутации бренда.

Что удивительно, бизнес зачастую не подозревает о существовании подобных преступлений, несмотря на огромный ущерб, который они могут нанести.

Краткосрочных или временных решений недостаточно. Компании должны полноценно разобраться в каждой технологии для выявления и управления рисками.

Заключение

Эффективное преобразование ИБ не требует сложных технологических решений. Это требует лидерства и приверженности, способности и готовности действовать. Не через один-два года, а именно сейчас. Любая задержка - и многие компании останутся слишком далеко позади, чтобы наверстать упущенное.

Необходимо следовать четырем ключевым шагам.

1. Связь стратегии ИБ с бизнес-стратегией.
2. Реорганизация/перестроение IT-архитектуры компании.
3. Успешное и рациональное выполнение преобразований.

Глубокое понимание рисков и реализация потенциальных возможностей новых технологий для уменьшения существующего разрыва.