Утечки данных не стоит замалчивать
Максимальный подтвержденный размер финансового ущерба от утечки информации в российской компании составляет 30 млн долл. При этом прогнозируемый компаниями ущерб (в среднем 310 тыс. долл.) на практике оказывается заметно ниже реального, составляющего 820 тыс. долл.
По статистике, собранной Zecurion, первые утечки информации фиксируются в организациях уже во время опытного внедрения DLP-систем на ограниченном количестве рабочих станций. Заказчики говорят, что достаточно серьезные инциденты фиксируются раз в несколько недель. Этот показатель варьируется от отрасли к отрасли и особенно сильно зависит от числа сотрудников, которые имеют доступ к конфиденциальной информации.
Масштаб подобных инцидентов сильно различается. Потенциальный ущерб в 500 тыс. руб. может быть незначительным для компании с оборотом в сотни миллионов долларов, но критичным для бизнеса небольшой фирмы. Формальный признак серьезного инцидента — доклад о нем начальству.
Во что выливаются утечки
Несмотря на то что посчитать вероятный (да и фактический) ущерб от утечки информации зачастую довольно проблематично, делать это необходимо хотя бы для обоснования проектов по защите информации. Последствия утечек — вопрос исключительно острый. Как правило, чем больше ущерб от утечек, тем актуальнее оказывается задача защиты информации для компании и тем легче аргументировать заявленный бюджет.
Примерно в половине случаев компании затрудняются оценить стоимость утечек информации, что указывает на недостаточную работу в части классификации информации и оценки информационных рисков. Вторая половина опрошенных специалистов смогла привести цифры реального ущерба и оценить возможные издержки по предотвращенным инцидентам. Максимальный размер ущерба, который реально понесла компания от утечки конфиденциальных данных, составил 30 млн долл.: в этом случае источник утечки был выявлен среди топ-менеджеров компании.
В среднем финансовый ущерб от каждой утечки в опрошенных организациях составил 820 тыс. долл.
Основные статьи ущерба — прямые потери, упущенная выгода, а также штрафы со стороны регуляторов. Если говорить о российской практике, то наибольшие потери компаний приходятся на косвенный ущерб вследствие ухудшения клиентской базы (особенно в высококонкурентных отраслях) или из-за получения конкурентами других преимуществ.
Последствия инцидентов и санкции
В том, что компании стремятся избегать публичности в случаях утечки информации, нет ничего удивительного — репутационные риски могут быть весьма чувствительными. Но, как показывают результаты опроса, подавляющее большинство организаций не информируют об инцидентах даже собственных сотрудников. Между тем из инцидентов важно делать правильные выводы и доводить их до персонала, с тем чтобы утечки не случались в будущем.
Если в компании ловят злонамеренного инсайдера, полезно будет информировать сотрудников об этом факте хотя бы для того, чтобы повысить бдительность. Целесообразно также рассказать о дисциплинарных мерах, которые были применены к инсайдеру, с тем чтобы уменьшить желание других сотрудников «сливать» информацию.
40% компаний не используют даже антивирус
Согласно результатам исследования, проведенного B2B International, традиционная антивирусная защита по-прежнему остается наиболее популярным методом обеспечения безопасности предприятия — к ней прибегают 60% организаций. Однако все большее распространение получают новые защитные меры, в том числе управление обновлением ПО и контроль приложений.
В целом отмечаются положительные тенденции в вопросах обеспечения безопасности — все больше компаний используют комплексную защиту. В 2014 году набор мер, принятых компаниями для обеспечения информационной безопасности, существенно расширился. Отмечено внедрение систем для защиты финансовых транзакций, технологий защиты мобильных устройств, а также средств поддержания работоспособности веб-сервисов и защиты от DDoS-атак. Пока 24% респондентов указали в качестве новой меры безопасности применение систем для защиты от утечек данных.
В облаках ищут экономию и надежность
Среди облачных ИТ-сервисов наиболее востребованы в России такие инструменты, как электронная почта, хранилища данных и системы объединенных коммуникаций. Опрос, проведенный TelecomDaily, показал, что среди организаций, особенно малого и среднего бизнеса, есть спрос на облачные сервисы: почти половина респондентов проявили высокий интерес к ИТ-услугам, потребляемым по модели аренды. Прежде всего это связано с проблемами функционирования корпоративных систем, которые компании регулярно испытывают: 65% из них сталкиваются с системными сбоями, а 35% — с потерей данных.
Руководители компаний осознают, что модель потребления ИТ как сервиса может решить большинство существующих проблем. 60% опрошенных считают, что ИТ-услуги с гарантией от крупного международного или российского поставщика позволят им избежать отказа систем. А 55% осведомлены о том, что функция автоматического создания резервной копии, встроенная в эти сервисы, даст возможность при необходимости восстановить данные. К другим преимуществам такой модели потребления ИТ респонденты отнесли возможность доступа к информации с различных устройств и экономию средств предприятия.