Как утверждают в Ernst & Young, для защиты от угроз, исходящих от новых технологий, организациям необходимо коренным образом изменить подход к обеспечению информационной безопасности.
Организации постепенно наращивают свой потенциал в решении краткосрочных задач, связанных с обеспечением информационной безопасности, но при этом не уделяют внимания проблемам, решение которых представляется необходимым для снижения угрозы информационной безопасности в целом. Сегодня как никогда ранее ощущается потребность в создании надежной архитектуры безопасности. ИТ-руководители должны принять в качестве новой аксиомы утверждение о том, что обычной оперативности уже недостаточно.
В организациях есть понимание того, сама природа и характер рисков меняются, а вместе с увеличением роста числа угроз растет и количество инцидентов. 77% респондентов подтвердили повышение риска внешних атак, однако это не является единственным источником беспокойства: 46% респондентов отмечают, что внутренние уязвимости также растут.
Новые технологии не только открывают перед компаниями невиданные возможности, но и подвергают их потенциальным угрозам из неизвестных ранее источников. Облачные технологии по-прежнему являются главным источником инноваций в современной деловой среде: за последние два года количество организаций, использующих их, увеличилось почти вдвое. Тем не менее, 38% организаций не приняли никаких мер по снижению рисков, в частности не обеспечили более строгого надзора за управлением контрактами с провайдерами услуг или применение методов шифрования.
Планируемое многими компаниями увеличение бюджета, выделенного на безопасность, окажется эффективным только в случае надлежащего распределения обязанностей в рамках процессов принятия решений. Более чем в половине организаций обеспечением информационной безопасности по-прежнему занимаются ИТ-отделы.
Однако обеспечение информационной безопасности начинает выходить за рамки традиционных областей ИТ. В настоящее время необходимо принимать решения о выборе инструментов, процессов и методов мониторинга угроз, оценке эффективности работы, поиске пробелов в системе безопасности, что и определяет необходимость перераспределения ответственности. Лишь в 5% компаний обеспечение информационной безопасности относится к компетенции руководителя подразделения по управлению рисками.