Безопасность ИТ имеет решающее значение для любого бизнеса, но понятие это настолько всеобъемлющее, что получить представление о реальном положении дел в отрасли и перспективах развития на будущее очень сложно. Вот почему ежегодно издание CSO совместно с компанией PwC проводит опрос руководителей служб технической безопасности во всем мире, с тем чтобы понять, какая ситуация сложилась на сегодняшний день.
Опрос «Глобальное состояние информационной безопасности в 2018 году» был проведен среди читателей CIO и CSO, а также клиентов PwC. Соответствующий отчет был составлен по итогам ответов более чем 9,5 тыс. генеральных и финансовых директоров, руководителей информационных служб, директоров по безопасности и информационной безопасности, вице-президентов, ИТ-директоров и специалистов по безопасности из 120 стран.
Результаты проведенного исследования дают ответы на следующие вопросы:
• Кто несет ответственность за безопасность?
• На что тратятся выделяемые средства и какие мероприятия планируются в этой сфере?
• Каковы существующие технологические тенденции, с которыми приходится сталкиваться специалистам по безопасности?
Кто отвечает за безопасность?
Люди, возглавляющие направление информационной безопасности, как правило, входят в состав высшего руководства компаний. У 52% компаний, принимавших участие в опросе, имеется должность директора по информационной безопасности, а у 45% – директора по безопасности. Специалисты, занимающие эти должности, подчиняются обычно непосредственно главе организации. Только 24% находятся в подчинении у директора ИТ-службы; все же остальные подчиняются либо генеральному директору (40%), либо совету директоров (27%).
Но, когда мы начинаем спускаться по иерархической пирамиде ниже, ситуация становится более запутанной. Менее чем у половины компаний, принимавших участие в опросе, имеются специальные сотрудники, занимающиеся обеспечением безопасности внутренних бизнес-операций. Только 46% респондентов сообщили об объединении в их организациях вопросов информационной и физической безопасности, лишь у 43% в программу информационной безопасности включены функции конфиденциальности, а более четверти опрошенных не знают, какую позицию по этому поводу занимает их компания.
.jpg)
Только 24% компаний не имеют планов в ближайшее время переносить важные данные в облако
Ошибки планирования
Число компаний, разрабатывающих конкретные стратегии безопасности, оказалось не так уж велико. Лишь у 56% стратегия информационной безопасности была сформулирована в целом. Что же касается технологий безопасности в специфичных областях, здесь цифры еще хуже – доля не превышает 50%. Перечислим эти области:
• социальные медиа – 44%;
• большие данные – 44%;
• облачные вычисления – 46%;
• мобильные устройства – 47%.
Непосредственное участие в разработке стратегии безопасности в целом советы директоров принимают менее чем у половины компаний. До сих пор во многих организациях советы директоров не имеют никакого отношения к контролю за повседневными операциями.
.jpg)
Лишь у 56% компаний стратегия информационной безопасности была сформулирована в целом
Безопасность – процесс непрерывный
Многие из будничных, но жизненно необходимых мер безопасности включают в себя повторяющиеся меры – не слишком привлекательные, но зачастую очень важные для подготовки организации к защите от атак. В большом числе организаций такие меры не являются приоритетными, и только около половины опрошенных отметили, что их компании прилагают значительные усилия в этом отношении. Перечислим, каким мерам, имеющим отношение к безопасности, уделяется внимание:
• повышение уровня информированности – 52%;
• программа для выявления важных активов – 46%;
• оценка уязвимости – 46%;
• реакция в рамках управления инцидентами – 46%;
• тестирование на предмет возможностей проникновения – 42%.
.jpg)
Непосредственное участие в разработке стратегии безопасности в целом советы директоров принимают менее чем у половины компаний
Куда и почему уходят деньги?
Вопросы информационной безопасности в организациях зачастую считают поглотителями финансовых средств, далеко не всегда приносящими желаемую отдачу. Чем определяется выбор направлений затрат в компаниях, принимавших участие в нашем опросе? Приведем пару довольно интересных результатов:
• 49% опрошенных утверждают, что затраты на безопасность зависят исключительно от оценки рисков;
• 66% отметили, что в их организациях расходы определяются доходами каждого из направлений бизнеса.
Возникает вопрос: ведется ли в компаниях «борьба с пожарами» повсюду, где они появляются, или же защитить стремятся лишь наиболее ценные активы? Интересно также, какова степень распыления расходов между разобщенными активами. В любом случае высокотехнологичные операции нуждаются в защите: 59% опрошенных заявили, что после перевода экосистемы бизнеса на цифровые рельсы их компании стали инвестировать в безопасность больше.
.jpg)
66% отметили, что в их организациях расходы определяются доходами каждого из направлений бизнеса
Роботы и гаджеты
Роботы, устройства Интернета вещей и другие распределенные встроенные системы начинают из произведений научной фантастики перемещаться в реальный мир и нуждаются в защите. Некоторые компании уже внедряют у себя роботов, и их беспокойство в отношении угроз безопасности вполне обоснованно: 40% опасаются кибератак, которые могут привести к нарушению производственных процессов, а 22% говорят даже о потенциальной угрозе жизни людей.
Гаджеты Интернета вещей, наверное, не столь опасны для жизни, но это не может стать поводом для самоуспокоения. 67% компаний уже имеют или планируют стратегию в отношении Интернета вещей, но только 34% оценивают риски Интернета вещей для бизнеса. Кто конкретно отвечает за безопасность Интернета вещей? Ответы респондентов таковы: 29% указывают на директора по информационной безопасности, 20% – на инженерный персонал, а 17% называют ответственным директора по рискам.
.jpg)
67% компаний уже имеют или планируют стратегию в отношении Интернета вещей
Защита облака
Несмотря на то что только у 46% компаний имеется стратегия обеспечения безопасности облачных вычислений, переход в облако происходит, и происходит быстро. Уже сейчас 46% опрошенных утверждают, что большая часть ИТ-сервисов у них доставляется через облако, а 60% рассчитывают на то, что это произойдет в течение ближайших пяти лет. Если говорить о данных, то тут положение дел меняется еще быстрее: 40% уже хранят важные данные в различных облачных ресурсах, а 36% планируют проделать это в ближайшие год-полтора.
А теперь перейдем к использованию моделей облачных вычислений (учтите, что каждой из них присущи свои собственные проблемы, связанные с безопасностью):
• публичное облако – 34%;
• частное облако – 55%;
• гибридная модель – 29%.
Драгоценные данные
Компании начинают понимать, что клиентские данные являются одним из самых ценных активов, а их утечка может привести к фатальным последствиям. К сожалению, лишь около половины организаций принимают меры для защиты этой информации:
• 53% компаний требуют от сотрудников изучения политики конфиденциальности и принятия мер по защите соответствующих данных;
• 49% ограничивают возможности сбора персональной информации, ее хранения и доступа к ней тем минимальным объемом, который необходим сотрудникам для выполнения их легитимных функций;
• 51% следят за процессом сбора, передачи и хранения персональных данных своими сотрудниками.
Тем не менее можно утверждать, что компании постепенно начинают осознавать приоритетность культуры защиты конфиденциальной информации: 67% опрошенных сообщили, что за соблюдением соответствующих правил следит директор по конфиденциальности или специальный сотрудник, а 12% планируют ввести у себя такую должность в течение ближайшего года.
– Josh Fruhlinger. Information security, 2018: What we have here is a failure to plan. CSO. October 18, 2017