Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах ITSM 365 Пользователи Компании Лента заказов Курс по ITSM

Организации не уверены, что могут защитить конфиденциальные данные

Организации не уверены, что могут защитить конфиденциальные данные

Согласно опубликованным в начале октября результатам глобального исследования SafeNet Data Security Confidence Index 2014, в котором участвовали ИТ-руководители и сотрудники отделов безопасности из США, Великобритании, Европы, Ближнего Востока и стран Азиатско-тихоокеанского региона, организации все еще считают защиту периметра достаточной мерой обеспечения безопасности, несмотря на постоянно повышающуюся статистику взломов. Соответственно, именно на такой класс продуктов и продолжают уходить основные инвестиции. К сожалению, приведенная в отчете статистика касается ситуации в мире, а не в России. Но, не сомневаюсь, интересные выводы этого отчета, а точнее, противоречия между реальным положением дел и восприятием индустрии безопасности руководящим персоналом, вполне применимы и к нашему бизнесу.

Статистика нарушений в сфере информационной безопасности говорит о том, что число взломов и объемы украденной информации растут с каждым годом. Только за последний год этот «сегмент черного рынка» вырос на 31%. В ответ на развитие угроз для ИТ-инфраструктуры, предприятия выделяют большие средства на обеспечение собственной ИТ-безопасности. Однако, не одно дело – увеличить бюджет, и совсем другое – обеспечить в рамках имеющихся средств оптимальный уровень (и способ) защиты. К сожалению, хотя расходы на ИТ-безопасность с каждым годом увеличиваются, львиная их доля все еще уходит не совсем по назначению, т.е. не позволяет действительно решить проблему безопасности для отдельно взятой организации оптимальным путем.

По данным глобального исследования SafeNet Data Security Confidence Index 2014, 74% лиц, ответственных за принятие решений в бизнесе, считают, что брандмауэра, т.е. защиты внешнего периметра информационной сети компании, достаточно для предотвращения доступа к конфиденциальной информации организации третьих лиц. Бизнес полагается на этот способ обеспечения, как на единственную компоненту стратегии. Интересно, что при этом более 40% признают, что их брандмауер мог быть (или даже был) хотя бы раз взломан, а 60% не уверены в том, защищены ли конфиденциальные данные компании от тех злоумышленников, кто смог пробраться через него.

Несмотря на эту неуверенность, инвестиции в безопасность периметра продолжают расти: 93% опрошенных отметили, что объем выделенных на это средств за последние пять лет увеличились или, по крайней мере, остались на прежнем уровне. При этом средний рост расходов («средняя температура по всему рынку») составил порядка 9%.

Хотя аналитики ежегодно публикуют десятки разъяснительных статей, поясняющих, что защиты периметра в современном мире не достаточно, 67% респондентов, ответственных за принятие решений в своих компаниях, не планируют делить бюджет, уменьшая долю, предназначенную на развертывание брандмауэров, в пользу внедрения других технологий. Скорее они готовы пожертвовать шифрованием или инструментами обнаружения вторжений. Печально, но многие компании все еще складывают все яйца в одну корзину, когда разрабатывают стратегию защиты бизнеса от ИТ-угроз.

Как ни странно, уверенность в эффективности брандмауэров не распространяется дальше процесса деления бюджета. Многие респонденты сомневаются, что их компании способны защитить конфиденциальные данные. 41% считают, что неавторизованные пользователи могут получить доступ к корпоративной сети, а 60% не уверены, что после такого взлома периметра данные внутри сети будут защищены. Однако эта неуверенность не вызывает подозрений в отношении эффективности принципа защиты только периметра. Скорее она приводит к недоверию ко всей отрасли информационной безопасности. Так 34% опрошенных (ИТ-руководителей) заявили, что в принципе не уверены в способности индустрии выявлять угрозы и защищать от них.

Самый поразительный результат исследования заключается в том, что четверть ИТ-руководителей не доверили бы своей компании конфиденциальные данные, если бы оказались на месте ее клиента. Это говорит о том, что внедрение более эффективной системы защиты буксует не из-за их незнания о существовании проблем. Вероятно, виной всему бюрократия и сложности, с которыми приходится сталкиваться тем, кто пытается внедрить нечто принципиально новое. Хотя, это уже мои домыслы.

 

Дополнительные материалы:

Информационная безопасность, NDA и пользователи

Обеспечение ИТ-безопасности — средства мимо цели?

ИТ-безопасность в чужие руки — надёжно и выгодно?

Шесть вечных граблей для специалистов по ИТ-безопасности

Комментарии (3)

  • Аватар

    Бондаренко Руслан [bruslyc], 26 октября 2014, 12:43

    0
    Слабое звено любой системы - пользователи, никакой фаервол не поможет, если у сотрудника с домашнего компа есть доступ к рабочему а тем более к серверу. Никто не защитит информацию от банального скриншотирования или слива через всякую **варь. Покурите темы по взлому систем безопасности - до 80% времени тратится на социальную инженерию. И построение защиты соответственно должна быть основано в первую очередь на этом. Иначе вас красивый фаервол не так и будет стоять девственно чистым и непробитым, а слив будет иметь место... но самое печальное - вы об этом можете никогда и не узнать.
    • Аватар

      Яковлев Андрей Михайлович [swtws], 28 октября 2014, 14:02

      0

      Предприятие в первую очередь не может решить несколько базовых задач:

      1. Оценка стоимости информационных активов.

      2. Оценка имеющихся рисков ИБ.

      3. Принятие решения о политике управления рисками.

      Если этого не сделано, все остальное пустая трата времени и денег. Поясню - грамотное построение СУИБ основано на оценке стоимости активов, чтобы после оценки рисков не выбрать слишком затратную политику по снижению/устранению рисков. Этого нет и в помине в 99% случаев. То есть основная проблема - отсутствие понимания у менеджмента "Что такое ИБ".
      Пользователи - это вторично, как фаерволы, антивирусы, железные двери, регламенты работы с информацией.

      • Аватар

        Бондаренко Руслан [bruslyc], 28 октября 2014, 14:08

        0
        я вам скажу на личном опыте - мелкосредний бизнес даже не пытается задумываться об этом, а если ему об этом рассказать - то в большинстве случаев просто игнорит.