Panorama Consulting: растет число неудачных проектов внедрения ERP
В 2012 году чаще стали выбиваться из графика проекты внедрения ERP-систем на предприятиях, об этом говорят данные компании Panorama Consulting, полученные в ходе онлайн-опроса, который проводился с сентября по январь. Всего ответивших на вопросы было 172 респондента. Средняя стоимость ERP-проектов составляла 7,1 млн долл., продолжительность — 17,8 месяца, 61% респондентов сообщил, что внедрение заняло больше времени, чем планировалось. Для сравнения, в 2011 году аналогичный показатель составил 54%. Но доля сообщивших о превышении бюджета уменьшилась с 56 до 53%. Около 60% пожаловались, что получили лишь половину или меньше расчетных преимуществ от ERP, тогда как в 2011 году в этом признались 48%.
Диаграмма 1 |
У 53% опрошенных годовой оборот компании — до 50 млн долл., у 21% — не меньше миллиарда. Больше 80% выразили удовлетворенность выбранным программным обеспечением, но лишь 60% назвали проект внедрения успешным. Треть ответили на вопрос об успехе неопределенно, а каждый десятый признался в провале. В последние годы было немало судебных исков к разработчикам решений и системным интеграторам по поводу провальных ERP-проектов. Особенно много внимания, благодаря большому масштабу, привлекли провалившиеся ERP-проекты в государственном секторе: только за последние несколько недель в администрации Калифорнии было объявлено о прекращении двух таких инициатив.
Госсектор — «слабое звено»
Как подсчитали аналитики InfoWatch, в 2012 году было скомпрометировано более 1,8 млрд записей, в том числе финансовые и персональные данные. В СМИ была обнародована почти 1 тыс. случаев утечки конфиденциальных данных, что на 16% превышает показатель предыдущего года. При этом только прямые потери компаний, которые были упомянуты в связи с инцидентами, составили более 37,8 млн долл.
В последнее время наблюдается положительная динамика по обнародованию в СМИ информации об утечках ценной информации, но есть основания полагать, что число «публичных» инцидентов составляет не более 3–5% от их реального количества, а финансовые убытки указывает еще меньшее количество компаний. Если учитывать все эти факты, то можно говорить, что десятки миллионов потерь выливаются в совершенно фантастические суммы — десятки миллиардов.
В InfoWatch отмечают, что при подсчете совокупных потерь необходимо учитывать упущенную прибыль в результате случившегося инцидента, затраты на ликвидацию последствий утечек и судебные разбирательства, компенсационные выплаты. Рассчитать и оценить все затраты, которые могут возникнуть в результате криминальных действий сотрудников, крайне сложно.
Разумеется, внедрение компаниями средств защиты повлияло на соотношение случайных и умышленных утечек. Как известно, имеющиеся на рынке средства и методы более эффективны в отношении именно случайных утечек, нежели умышленных. Действительно, процент случайных утечек снижается — в 2012 году доля случайных утечек составила всего 38%, а доля злонамеренных утечек растет — 46%. Первое место по типу утечек по-прежнему занимают персональные данные — они составляют 89% общего объема. Они ликвидны и поэтому интересны широкому кругу злоумышленников. Подобные утечки имеют массовый характер, и базы с персональными данными могут быть проданы широкому кругу покупателей. Коммерческая или государственная тайны, напротив, обычно утекают «на заказ», несмотря на то что организации серьезно подходят к защите информации и стараются соответствовать требованиям законов и стандартов.
Диаграмма 2 |
Если рассматривать соотношение утечек в разрезе типов организаций, то доля коммерческих организаций уменьшилась на 5% и составила 41%, а доля образовательных учреждений сократилась практически вполовину. Откровенно плохо дела обстоят в государственных учреждениях, количество инцидентов в которых составило 29%, показав существенный прирост.
В целом 2012 год можно назвать годом утечек в государственных компаниях. Увеличение доли госструктур примечательно и говорит о недостаточном внимании к проблемам защиты информации в госсекторе. Вторая причина еще более очевидна — массовое использование мобильных устройств, к которому службы информационной безопасности государственных и муниципальных организаций по всему миру оказались явно не готовы.
Как утверждают в Gartner, почти треть компаний уже используют системы для борьбы с утечками информации (Data Leak Prevention, DLP). Однако восприятие DLP как программного обеспечения, способного самостоятельно, без усилий со стороны служб безопасности, бороться с утечками, в корне неверно. Если со случайными утечками такие системы действительно справляются, то борьба со злонамеренными требует серьезной консалтинговой составляющей. Это касается и подготовки DLP-проектов, и сопровождения систем, в частности расследования случившихся инцидентов.