Для зарегистрированных пользователей |
|
ИТ-безопасность: никто не готов к новым угрозам
Дмитрий Антиномов
Компания Ernst&Young провела ежегодный глобальный опрос ИТ-руководителей о проблемах информационной безопасности. Как оказалось, пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире.
Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005". В опросе приняли участие высшие исполнительные лица более 1,3 тыс. коммерческих и государственных организаций в 55 странах мира, включая Россию. Основную массу респондентов составили директора информационных служб (CIO) и отделов ИТ-безопасности (CSO). Наиболее общим и, пожалуй, самым значимым выводом из этого исследования явилось то, что пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире. Другими словами, риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по ИТ-безопасности не успевает адекватно отреагировать на них. Эксперты компании Ernst&Young посчитали эту тенденцию настолько важной, что даже включили слова "Отчет о расширяющейся пропасти" ("Report on Widening Gap") в название своего исследования.
Реальные риски и ИТ-безопасность
Как оказалось, все опрошенные организации, вне зависимости от их размера или географического положения, сталкиваются с одними и теми же четырьмя проблемами:
Совместимость с нормативными актами. Число регулирующих документов постоянно растет, что приводит к несовместимости некоторых из них.
Взаимозависимость одних компаний от других. Вне зависимости от того, ведет ли компания международный бизнес, наличие постоянных информационных потоков между партнерами, поставщиками, клиентами, подрядчиками и т.д. заставляет одни предприятия полагаться на ИТ-безопасность других. Другими словами, компания должна быть уверена в том, что ее партнер сможет обеспечить должный уровень безопасности.
Использование самых новых технологий. Очевидно, что бизнес хочет быть более конкурентоспособным и производительным, а, следовательно, он постоянно ищет новые технологии, которые можно взять на вооружение. Однако инновации часто приносят новые риски, а специалисты ИТ-безопасности не всегда могут предложить адекватное решение.
Несоответствие между тактическими и стратегическими целями. Обеспечение ИТ-безопасности должно быть составной частью общей стратегии, но организации по-прежнему относятся к решению конкретных проблем безопасности, как к тактическим задачам, что приводит к росту расходов в долгосрочном периоде. Именно эти трудности обуславливают собой ту пропасть, о которой уже говорилось выше. По мнению аналитиков компании Ernst&Young, данные четыре проблемы способны поставить выживаемость компании под вопрос, в то время как решение этих задач способствует дальнейшему развитию бизнеса.
Совместимость с нормативными актами
Проблема регулирования, согласно отчету "Global Information Security Survey 2005", впервые за все восемь лет проведения подобных исследований стала основной движущей силой в развитии ИТ-безопасности. Она обогнала даже такие популярные угрозы, как компьютерные черви и вирусы.
Хотя число вирусных инцидентов, наносимый ими ущерб, а также криминализация преступных сообществ в Интернете серьезно возросли в 2005 году, две трети респондентов посчитали именно совместимость с нормативными актами самым главным стимулом развития ИТ-безопасности на предприятиях. Это мнение становится еще более значимым в силу того, что примерно одна пятая всех респондентов вообще не представлена на жестко регулируемых рынках.
Источник: Ernst&Young
"Несмотря на такое повышенное внимание к регулированию, встает вопрос. А достигают ли нормативные акты своей цели? Да, но лишь частично. Дело в том, что бизнес, индустрия информационных продуктов и отрасль средств ИТ-безопасности упускают из виду, что такие законодательные инициативы как Акт Сарбаниса-Оксли и Восьмая Директива Евросоюза позволяют превратить безопасность в составную часть стратегии бизнеса и сэкономить на инвестициях", - считает Денис Зенкин, директор по маркетингу компании InfoWatch. Действительно, почти 90% респондентов, которые в данный момент заняты реализацией процессов ИТ-безопасности, чтобы удовлетворить требованиям нормативных актов к механизмам внутреннего контроля, фокусируются на создании или обновлении политик и процедур. Примерно три четверти из них проводят тренинги и обучающие мероприятия для персонала. Эти результаты отчетливо контрастируют с тем, что лишь 41% опрошенных руководителей используют положения законодательных актов, касающиеся средств внутреннего контроля, для того, чтобы перестроить функции ИТ-безопасности и внести изменения в архитектуру ИТ-безопасности.
Источник: Ernst&Young
Более того, когда респондентов попросили определить наиболее важные роли, которые ИТ-безопасность играет в бизнесе, в ответах наметился резкий дисбаланс. Далеко вперед вырвалась "совместимость с корпоративными политиками и процедурами". В пользу этой роли высказался 81% руководителей. Между тем, на оставшиеся роли, в основном связанные с бизнесом, пришлось значительно меньше.
Источник: Ernst&Young
Исследование "Global Information Security Survey 2005" позволило установить, что наибольшую заботу в контексте совместимости с нормативными актами компании проявляют по отношению к механизмам внутреннего контроля. Так, две трети респондентов указали, что именно эти процедуры оказывают самое большое влияние на бизнес сейчас и будут оказывать в ближайшие двенадцать месяцев. Следующим по влиятельности аспектом является приватность - о ней пекутся более 50% руководителей. Однако, как отмечают аналитики, в течение года интерес к вопросам приватности несколько снизится. Ожидается, что через 12 месяцев регулирование производственных или операционных рисков будет оказывать на бизнес более сильное влияние, чем заботы о приватности. Далее идут защита интеллектуальной собственности и отраслевое регулирование на четвертом и пятом местах соответственно. Следует отметить, что все эти аспекты связаны друг с другом тем, что во многом закреплены законодательно.
Источник: Ernst&Young
Таким образом, можно сделать вывод, что проблема обеспечения совместимости с нормативными актами не утратит своей остроты в ближайшие двенадцать месяцев. Более того, такие жесткие законы как Акт Сарбаниса-Оксли, 8-я Директива Евросоюза и Basel II усилят роль этой проблемы еще больше. При этом компьютерные вирусы и черви в течение года спустятся на пятое место среди основных стимулов развития системы ИТ-безопасности в компаниях.
Взаимозависимость бизнеса
Взаимозависимость компаний друг от друга является результатом нарастающего процесса глобализации: мир становится меньше, бизнес становится больше. В таких условиях каждая организация должна быть уверена в ИТ-безопасности своего партнера, в противном случае всего один инцидент - утечка или кража чувствительных данных - может больно ударить по одной компании и похоронить другую. Бизнес понимает проблему. Все ведущие организации признают свою зависимость от поставщиков, партнеров, подрядчиков и т.п., а также единодушны в том, что влиять на ИТ-безопасность третьих компаний очень сложно. Именно поэтому руководители придают особое значение системам управления рисками у своих партнеров по бизнесу. Заметим, что в эту систему обязательно входят оценка рисков и регулярные проверки политик и процедур безопасности.
Предприятия понимают, что такая модель ведения бизнеса как аутсорсинг имеет не только выгоды, но и недостатки. Чтобы минимизировать возникающие при этом риски, часть руководителей использует системы оценки рисков в аутсорсинговых проектах, включающие в себя количественные и качественные методики.
В противоположность этому рациональному подходу некоторые компании не уделяют должного внимания системам оценки рисков у своих партнеров по бизнесу. Такой порочный подход особенно распространен при оценке рисков ИТ-безопасности, когда бездоказательные рассуждения (не подкрепленные проверкой/аудитом или сертификацией) используются для принятия решений. Таким образом, бизнес сталкивается с новыми рисками и выигрывает от партнерства или аутсорсинга значительно меньше.
Источник: Ernst&Young
Исследование "Global Information Security Survey 2005" установило, что 20% всех респондентов вообще не заботятся об оценке рисков в компаниях-партнерах, а одна треть использует неформальные процедуры в этих целях (бездоказательные доводы). "В современных условиях ведения бизнеса такая безалаберность слишком опасна. Ситуацию нельзя пускать на самотек: рисками необходимо управлять", - считает Денис Зенкин.
Почти три четверти респондентов верят, что компании-партнеры способны поддерживать политики, процедуры и стандарты корпоративной ИТ-безопасности, в то время как одна шестая часть требует независимого внешнего аудита предприятий-партнеров. Только одна четверть организаций требует от поставщиков и партнеров сертификации.
Источник: Ernst&Young
Существует широко распространенное мнение, что малым компаниям следует уделять вопросам ИТ-безопасности намного больше внимания, чем крупным, так как малый бизнес ограничен в ресурсах по сравнению с крупным. Возможно, это правда, но исследование "Global Information Security Survey 2005" по многим вопросам вообще не выявило никаких различий между малыми и большими организациями. Они сталкиваются с теми же проблемами нехватки квалифицированных и опытных кадров, специалистов по ИТ-безопасности; и тем и другим приходится проходить процесс сертификации.
Источник: Ernst&Young
Новые технологии
Чтобы добиться более высокой конкурентоспособности, организации берут на вооружение такие технологии, как VoIP, беспроводные сети, мобильные устройства и т.п. Как это часто случается, вместе с повышением эффективности решения деловых задач появляются и дополнительные угрозы: интеллектуальная собственность и конфиденциальная информация просачиваются через корпоративный периметр и могут оказаться где угодно.
Половина опрошенных руководителей понимают, какую угрозу ИТ-безопасности представляют новейшие мобильные технологии, включая мобильные вычисления, портативные устройства и беспроводные сети. Однако уровень осведомленности значительно ниже относительно VoIP, открытых исходных кодов и виртуализации серверов: 21%, 10% и 8% соответственно.
Источник: Ernst&Young
"Прежде чем брать на вооружение новые технологии, организациям следует уяснить, какими дополнительными рисками это чревато. Оценив эти риски, следует принять адекватные меры, а уже потом модернизировать информационные процессы. Если говорить только о мобильных технологиях, которые, очевидно, являются источником новых угроз, то далеко не все организации принимают достаточные меры, чтобы управлять этими рисками. Такие меры должны начинаться с донесения до каждого сотрудника идеи о том, что он несет ответственность за ИТ-безопасность. С этой точки зрения, процессы оповещения об угрозах и средствах борьбы с ними должны пронизывать все уровни корпоративной иерархии, как вертикальные, так и горизонтальные. Вдобавок, необходимы новые средства защиты цифровых активов компании от кражи и утечки", - комментирует Денис Зенкин.
Опрос показал, что менее половины организаций заботятся о том, чтобы их сотрудники были осведомлены о различных аспектах ИТ-безопасности, и еще меньшее число предприятий обучает своих служащих корректно докладывать об инцидентах ИТ-безопасности.
Следует отметить, что, несмотря на всевозрастающую тревогу, некоторые компании не собираются принимать никаких сиюминутных действий. Так, 42% респондентов сообщили, что проблемы, возникающие в связи с переходом на новые технологии, только усилятся в ближайшие двенадцать месяцев. Между тем, 34% считают, что этот фактор явился стимулом для развития ИТ-безопасности в текущем году. Хотя примерно половина этих руководителей пытаются в той или иной степени решить возникающие проблемы, от четверти до трети респондентов сообщили, что у них нет никаких планов в отношении защиты от новых угроз, как минимум, на ближайшие двенадцать месяцев.
Источник: Ernst&Young
Таким образом, можно с уверенностью утверждать, что риски, связанные с мобильными вычислениями, портативными устройствами, беспроводными сетями и VoIP серьезно возрастут в ближайшее время.
ИТ-безопасность и общая организация бизнеса
"Интеграция процессов ИТ-безопасности в стратегию бизнеса компании позволяет создать всестороннюю систему управления рисками. Компании, которые организуют подобную систему, постоянно вовлекают в процесс принятия решений департамент ИТ-безопасности. В результате становятся более эффективными решения в таких стратегических направлениях, как слияния и поглощения, аутсорсинг и запуск продуктов.. Эти компании также понимают роль стандартов ИТ-безопасности, передового опыта и ценных ресурсов", - считает Денис Зенкин. Тем не менее, не все организации следуют описанной выше стратегии. Некоторые, напротив, по-прежнему продолжают фокусировать усилия ИТ-безопасности на решении производственных и тактических задач. От этого страдают стратегические цели организации, что приводит к росту соответствующих расходов.
Прежде всего, стоит обратить внимание на то, как ИТ-безопасность интегрирована с системой управления рисками. Две трети респондентов сообщили, что в их компаниях забота об обеспечении безопасности выделена в отдельную функцию. Это хорошая новость. Однако более одной четверти руководителей заявили, что функция обеспечения ИТ-безопасности не интегрирована в общие процессы управления рисками в компании. Такие организации страдают оттого, что реализуемые проекты ИТ-безопасности либо обладают избыточностью, либо фокусируются на угрозах, представляющих минимальные риски для данного предприятия.
Исследование "Global Information Security Survey 2005" позволило выяснить, что на практике достаточно многие функции ИТ-безопасности оказываются в изоляции от бизнес-процессов компании. Например, менее одной трети руководителей ежемесячно встречаются с менеджерами, отвечающими за внутренний аудит, совместимость с нормативными актами и т.д. Менее половины из них сообщили, что они вовлечены в запуск и продвижение новых продуктов, создание стратегических инициатив, защиту интеллектуальной собственности и др. Менее четверти участвуют в принятии решений о слияниях и поглощениях.
Источник: Ernst&Young
Еще одним показателем разобщенности между ИТ-безопасностью и управлением рисками является низкая степень вовлеченности в процесс управления рисками специалистов по внутреннему аудиту и обеспечению совместимости, а также экспертов из юридического отдела. Менее половины этих профессионалов принимают участие в проверке и разработке плана ИТ-безопасности в случае, если в компании происходит реструктуризация.
Источник: Ernst&Young
Вдобавок, менее половины руководителей коммерческих отделов вовлечены в эту деятельность. Несколько лучше дела обстоят с директорами компании: более половины из них участвуют в проверке корпоративной стратегии ИТ-безопасности. Однако и они разобщены. Многие организации применяют формальные процедуры ИТ-безопасности в других процессах предприятия. Так, около половины респондентов используют их для решения проблем ИТ-безопасности в процессах разработки приложений, управления рисками в компаниях-поставщиках, тренингах и обучающих программах для персонала. Оставшиеся компании применяют только неформальные процедуры или не используют их вовсе. Это особенно тревожно, так как 60% опрошенных руководителей считают серьезной проблемой безопасность сетевых приложений, а немногим более 40% из них не используют формальных процедур ИТ-безопасности в процессе разработки кода.
Источник: Ernst&Young
Почти все компании уверены в том, что эффективно определяют критические для своего бизнеса системы. Однако многие респонденты сообщили, что не контактируют с руководителями коммерческих отделов по вопросам ИТ-безопасности и считают, что эти руководители не в состоянии сами определить критические системные функции и активы. Интересно, что респонденты считают, что хорошо справляются с оценкой уязвимостей и тестами на проникновение. Правда, они по-прежнему регистрируют довольно много инцидентов с вирусами и червями. Наконец, опрошенные руководители высоко ценят эффективность своей работы в таких областях, как управление исправлениями и уязвимостями, управление доступом и идентификацией. Однако реальная эффективность этих процессов под сомнением: слишком мало процессов ИТ-безопасности используется, слишком много инцидентов с червями и вирусами регистрируется. Таким образом, разница между реальным положением дел и тем, как руководители оценивают свою деятельность, может служить дополнительным источником рисков.
Исследование позволило установить, что респонденты тратят более половины своего времени и бюджета на выполнение рутинных операций и реакцию на инциденты. Тактический и реактивный характер этих задач заставляет оценить эту деятельность, как наименее ценную для организации. Дело в том, что рутинные операции должны быть автоматизированы. Это приведет к высвобождению времени и средств, в которых нуждаются другие процессы ИТ-безопасности. Другим путем решения проблемы может стать аутсорсинг некоторых конкретных специализированных задач. Это поможет освободить внутренние ресурсы, включая персонал, и перенаправить их для участия в стратегических проектах, на которые сегодня приходится лишь 22% времени и 17% бюджета, отводимых на ИТ-безопасность.
Источник: Ernst&Young
Отдельно необходимо остановиться на аутсорсинге, так как он может принести серьезную пользу организации. Уже отмечалось, что основной трудностью в обеспечении должного уровня ИТ-безопасности более половины респондентов назвали отсутствие подготовленных и опытных кадров. Между тем именно аутсорсинг призван решить эту проблему. Около 75% респондентов сообщили, что они по-прежнему обрабатывают информацию об инцидентах в своей собственной компании и около 85% точно так же управляют проектами ИТ-безопасности. Однако оба этих процесса лучше всего подходят для аутсорсинга. Так, процессы управления проектами особенно нуждаются в подготовленных кадрах, которые оказывают решающее влияние на успешность проекта ИТ-безопасности.
Важным вопросом является проблема коммуникаций в организации. Например, опрошенные лица заявили, что очень редко встречаются с высшими исполнительными лицами или советом директоров, чтобы обсудить цели компании и нужды ИТ-безопасности. 40% руководителей встречаются с советом директоров и комитетами по аудиту реже одного раза в год, если вообще встречаются. Вдобавок, 44% респондентов по такому же расписанию встречаются со специалистами своих юридических отделов.
Источник: Ernst&Young
"В решение стратегических вопросов ИТ-безопасности должны быть вовлечены самые высшие исполнительные лица и совет директоров, так как сама по себе ИТ-безопасность вносит существенный вклад в производительность компании. Так, специалистам по безопасности необходимы не только указания руководства, но и его поддержка, чтобы обеспечить высокий приоритет инициативам ИТ-безопасности. При этом сам топ-менеджмент заинтересован в таких отношениях еще больше: ведь принимаемые на самом верху решения зависят как раз от достоверности и надежности предоставленной информации. Не стоит забывать и о нормативных актах, напрямую связывающих генеральных и финансовых директоров с процедурами внутреннего контроля, которые имеют много общего с процессами ИТ-безопасности. Таким образом, только эффективное общение между руководителями отделов безопасности и директорами компании позволяет наилучшим способом управлять рисками", - считает Денис Зенкин.
"Не менее важной, чем процессы коммуникации, является регулярная отчетность о проектах и инцидентах ИТ-безопасности, а также о процессах обеспечения совместимости с нормативными актами. Руководители отделов ИТ-безопасности должны отчитываться перед советом директоров и главами коммерческих отделов. Последние же руководители, не связанные напрямую с безопасностью, должны использовать эти отчеты, чтобы лучше понять, как процессы безопасности соотносятся с целями организации и нормативными актами", - добавляет он.
Исследование показало, что наиболее часто отчеты составляются о проектах. При этом они сопровождают запрос на увеличение инвестиций или бухгалтерский документ о расходе средств по проекту. Однако лишь немногим больше половины респондентов хотя бы раз в году доносят свои отчеты до совета директоров или глав коммерческих отделов. Остальные либо вообще не утруждают себя составлением отчетов, либо делают это реже раза в год. Что касается отчетов по процессам совместимости или инцидентам, то они встречаются еще реже. Более половины респондентов информируют по этим вопросам совет директоров и руководителей коммерческих департаментов еще реже, чем ежегодно (если вообще информируют).
Источник: Ernst&Young
Если говорить о тренингах и обучающих программах, то две трети респондентов проводят брифинги с исполнительными лицами организации, в ходе которых обсуждаются вопросы влияния аспектов ИТ-безопасности на организацию. Однако количество исполнительных лиц, обучаемых в ходе таких встреч тому, как реагировать на инциденты, значительно меньше - одна треть. Естественно, что многие руководители просто не могут адекватно оценить важность политик и процедур безопасности для организации. Что касается других групп обучаемых, то здесь уровень тренингов еще ниже. Менее половины организаций считают, что им необходимы тренинги по вопросам влияния ИТ-безопасности на организацию, и еще меньшая доля приходится на вопросы того, как реагировать на инциденты. Между тем, персональная ответственность каждого сотрудника постоянно растет, этому способствуют новые, в том числе мобильные, технологии. Так что руководству следует осторожнее подходить к тому, насколько образованны их подчиненные.
Источник: Ernst&Young
Чрезвычайно важным вопросом являются процессы сертификации и стандартизации. Именно к ним проявили особый интерес респонденты. Сегодня организации ищут способы реализовать тот или иной стандарт, чтобы обеспечить необходимую базу для процедур ИТ-безопасности и совместить задачи ИТ-безопасности со стратегическими целями компании. Согласно результатам опроса, требования стандартов по ИТ-безопасности возрастут в ближайшие двенадцать месяцев, что является свидетельством того, что организации все серьезнее относятся к самой сертификации и все выше ее ценят.
Источник: Ernst&Young
25% респондентов используют ISO 17799, еще 30% планируют обеспечить совместимость с этим стандартом. Также растет использование FTIL, хотя ИТ-безопасность не занимает центрального места в этом стандарте. Уже 25% респондентов удовлетворяют требованиям FTIL, и еще 22% планируют сделать это. Такая позитивная тенденция вызвана, прежде всего, тем, что организации понимают: реализация стандарта ИТ-безопасности повышает привлекательность компании в глазах клиентов и заказчиков. Две трети респондентов указали именно на это преимущество процесса сертификации.
Компания Ernst&Young также провела опрос, который позволяет выяснить, насколько реализованные в компаниях политики и практики соответствуют международным стандартам ИТ-безопасности. В этом мини-исследовании приняли участие 170 организаций из 27 стран. Далее перечислены те аспекты безопасности, по которым респонденты набрали оценку выше среднего (от 10,4 до 12 по 20-бальной шкале) и ниже среднего (от 8,2 до 9,9 по 20-бальной шкале):
Уровень соответствия реализованных в компаниях политик международным стандартам ИТ-безопасности
Источник: Ernst&Young
Выводы
Исследование показало, что организации отчетливо видят ту пропасть, что сегодня разделяет возрастающие риски и ИТ-безопасность. Чтобы преодолеть этот дисбаланс, компаниям необходимо предпринять ряд шагов. Только в этом случае можно минимизировать ключевые риски и превратить ИТ-безопасность в стратегический процесс. Меры, которые необходимо принять, также разбиты на четыре группы, по одной на каждую из выявленных проблем.
1. Следует использовать ту возможность, которую предлагают нормативные акты - сделать ИТ-безопасность интегрированной частью бизнес-процессов. А именно: увеличить инвестиции в обеспечение совместимости с нормативными актами, чтобы улучшить ключевые элементы функций ИТ-безопасности: архитектуру и организационную структуру; объединить процессы обеспечения совместимости с процессами ИТ-безопасности, чтобы повысить эффективность первых и комплексно покрыть риски; установить баланс между усилиями по реализации корпоративных политик и процедур и усилиями по достижению деловых целей организации.
2. Сделать сотрудничество с третьими фирмами более эффективным, особенно в области совместной работы и аутсорсинга. А именно: принять формальные процедуры, включая систему оценки рисков, чтобы корректно учитывать риски компаний-партнеров; требовать независимого аудита или сертификации в компаниях-партнерах, чтобы минимизировать новые риски и воспользоваться всеми плодами аутсорсинга; принять признанные стандарты ИТ-безопасности для своей собственной компании, чтобы продемонстрировать клиентам и заказчикам высокий уровень безопасности на своем предприятии.
3. Принять ряд мер, чтобы сделать использование новых технологий более безопасным. А именно: адекватно оценить риски, которым подвергается организация ввиду использования новых технологий, особенно те, которые связаны с недостаточным внутренним контролем или целиком зависят от поведения пользователей; принять комплексные меры минимизации рисков: проводить тренинги и обучать персонал, донести до каждого его ответственность в плане безопасности.
4. Сделать все возможное, чтобы ИТ-безопасность ориентировалась на стратегические цели организации. А именно: объединить ИТ-безопасность с всесторонним процессом управления рисками в компании; регулярно встречаться с директорами коммерческих отделов и советом директоров, чтобы объяснить высшим исполнительным лицам, как ИТ-безопасность может помочь им в реализации их собственных проектов, и отчитаться по проектам и инцидентам ИТ-безопасности, а также по процессам обеспечения совместимости; перераспределить ресурсы и бюджет на те задачи, которые отвечают стратегическим целям организации - автоматизировать рутинные операции и передать специализированные процессы, например, реакцию на инциденты и управление проектами, на аутсорсинг; пройти процесс сертификации или принять стандарт, который предоставляет достаточную базу, чтобы внедрить эффективные положения ИТ-безопасности, отвечающие стратегическим целям организации.
|