Когда дело доходит до обеспечения безопасности высокотехнологичных систем бизнес-назначения, ИТ-директор сталкивается с задачами, которые нельзя игнорировать.
И речь в данном случае идет не о новой технологии атак, небезопасном программном обеспечении и даже не о последних инициативах правительства, направленных на усиление регулирования. Вопрос заключается в том, чтобы, глядя в глаза директору по безопасности, решить, какой уровень безопасности можно считать приемлемым.
Десятый ежегодный опрос Global Information Security Survey, организованный компанией Pricewaterhouse Coopers и журналом CSO Magazine, показал, что причиной разногласий между ИТ-директором и директором по безопасности большинство респондентов считают отсутствие должного руководства функционированием системы безопасности. Другие же полагают, что причина заключается в отсутствии эффективной стратегии по выстраиванию информационной безопасности. В опросе приняли участие 12 052 руководителя, занимающихся как вопросами бизнеса, так и техническими вопросами.
Смотрите сами: только треть респондентов считает, что политики безопасности соответствуют бизнес-целям, и 46% признают, что они пересекаются лишь в отдельных моментах.
А коль скоро ИТ-директор, руководители бизнеса и команда, отвечающая за ИТ-безопасность, расходятся во мнениях, внятную и согласованную программу обеспечения безопасности и управления рисками, способную остановить атаки высокоинтеллектуальных и враждебно настроенных злоумышленников, выработать невозможно.
«Из-за недостаточного взаимодействия между руководителями и коллективами служб безопасности у многих складывается впечатление, что направление ИТ-безопасности не получает достаточного финансирования, — подчеркнул Джейсон Стрит, ИТ-директор компании Stratagem 1 Solutions, предоставляющей своим клиентам услуги безопасности. — Во многом вина за эту разобщенность лежит на сотрудниках службы ИТ-безопасности. Зачастую слабая ИТ-безопасность становится причиной провалов в бизнесе. Мы в недостаточной степени обсуждаем риски и не уделяем должного внимания их минимизации».
«Многие специалисты по безопасности нацелены больше на конкретные риски, а не на взаимные связи этих рисков и других актуальных вопросов, — отметил Фрэнк Червоне, заместитель ректора Университета Пердью-Калумет по информационным сервисам, исполняющий одновременно обязанности ИТ-директора вуза. — Директор по безопасности и ИТ-директор смотрят на это по-разному. Директор по безопасности не всегда улавливает суть и должен прикладывать более серьезные усилия при оценке взаимосвязи ИТ-рисков и рисков бизнеса в целом».
Эту точку зрения разделяет и Марк Лобел, начальник подразделения консультационных услуг компании PwC. «Лидерам бизнеса приходится в основном тушить пожары, и они редко уделяют вопросам безопасности должное внимание до тех пор, пока не случится какая-нибудь неприятность, — заметил он. — Абстрактные риски для бизнеса труднообъяснимы, их сложно измерить».
Лобел рекомендует ИТ-директору поддерживать более тесные контакты со службами безопасности, а директору по безопасности увязывать нужды безопасности с общим направлением и стратегией развития бизнеса. Если, к примеру, веб-приложения являются важной частью бизнеса, обеспечение их безопасности становится ключевым условием общего успеха предприятия.
Все респонденты советуют ИТ-директорам сосредоточить свои усилия на определении программ безопасности, которые базировались бы на измеримых рисках и результатах. Опрос показал, что сегодня слишком многие организации при ведении операций полагаются на инстинкты и внутренние ощущения.
Значительная часть опрошенных (35%) предпочитает оценивать эффективность затрат на безопасность на основе анализа мнения профессионалов. Далее следуют критерии уменьшения числа инцидентов и брешей, связанных с безопасностью (29%), и общая стоимость владения (24%). Менее четверти компаний (24%) оценивают улучшения, анализируя параметры безопасности. И наконец, пятая часть респондентов вообще не знает, как измерить эффективность программ ИТ-безопасности.
Результаты эти удивляют еще больше, если учесть, какие убытки несут организации при возникновении инцидентов, связанных с безопасностью. Финансовые потери от каждого такого случая, согласно результатам опроса, составляют в среднем около 1,6 млн долл.