Безопасность ИТ имеет решающее значение для любого бизнеса, но понятие это настолько всеобъемлющее, что получить представление о реальном положении дел в отрасли и перспективах развития на будущее очень сложно. Вот почему ежегодно издание CSO совместно с компанией PwC проводит опрос руководителей служб технической безопасности во всем мире, с тем чтобы понять, какая ситуация сложилась на сегодняшний день.

Опрос «Глобальное состояние информационной безопасности в 2018 году» был проведен среди читателей CIO и CSO, а также клиентов PwC. Соответствующий отчет был составлен по итогам ответов более чем 9,5 тыс. генеральных и финансовых директоров, руководителей информационных служб, директоров по безопасности и информационной безопасности, вице-президентов, ИТ-директоров и специалистов по безопасности из 120 стран.

Результаты проведенного исследования дают ответы на следующие вопросы:

• Кто несет ответственность за безопасность?

• На что тратятся выделяемые средства и какие мероприятия планируются в этой сфере?

• Каковы существующие технологические тенденции, с которыми приходится сталкиваться специалистам по безопасности?

Кто отвечает за безопасность?

Люди, возглавляющие направление информационной безопасности, как правило, входят в состав высшего руководства компаний. У 52% компаний, принимавших участие в опросе, имеется должность директора по информационной безопасности, а у 45% – директора по безопасности. Специалисты, занимающие эти должности, подчиняются обычно непосредственно главе организации. Только 24% находятся в подчинении у директора ИТ-службы; все же остальные подчиняются либо генеральному директору (40%), либо совету директоров (27%).

Но, когда мы начинаем спускаться по иерархической пирамиде ниже, ситуация становится более запутанной. Менее чем у половины компаний, принимавших участие в опросе, имеются специальные сотрудники, занимающиеся обеспечением безопасности внутренних бизнес-операций. Только 46% респондентов сообщили об объединении в их организациях вопросов информационной и физической безопасности, лишь у 43% в программу информационной безопасности включены функции конфиденциальности, а более четверти опрошенных не знают, какую позицию по этому поводу занимает их компания.

Информационная безопасность – 2018: то, что происходит сегодня, связано с ошибками планирования

Только 24% компаний не имеют планов в ближайшее время переносить важные данные в облако

 

Ошибки планирования

Число компаний, разрабатывающих конкретные стратегии безопасности, оказалось не так уж велико. Лишь у 56% стратегия информационной безопасности была сформулирована в целом. Что же касается технологий безопасности в специфичных областях, здесь цифры еще хуже – доля не превышает 50%. Перечислим эти области:

• социальные медиа – 44%;

• большие данные – 44%;

• облачные вычисления – 46%;

• мобильные устройства – 47%.

Непосредственное участие в разработке стратегии безопасности в целом советы директоров принимают менее чем у половины компаний. До сих пор во многих организациях советы директоров не имеют никакого отношения к контролю за повседневными операциями.

Информационная безопасность – 2018: то, что происходит сегодня, связано с ошибками планирования

Лишь у 56% компаний стратегия информационной безопасности была сформулирована в целом

 

Безопасность – процесс непрерывный

Многие из будничных, но жизненно необходимых мер безопасности включают в себя повторяющиеся меры – не слишком привлекательные, но зачастую очень важные для подготовки организации к защите от атак. В большом числе организаций такие меры не являются приоритетными, и только около половины опрошенных отметили, что их компании прилагают значительные усилия в этом отношении. Перечислим, каким мерам, имеющим отношение к безопасности, уделяется внимание:

• повышение уровня информированности – 52%;

• программа для выявления важных активов – 46%;

• оценка уязвимости – 46%;

• реакция в рамках управления инцидентами – 46%;

• тестирование на предмет возможностей проникновения – 42%.

Информационная безопасность – 2018: то, что происходит сегодня, связано с ошибками планирования

Непосредственное участие в разработке стратегии безопасности в целом советы директоров принимают менее чем у половины компаний

 

Куда и почему уходят деньги?

Вопросы информационной безопасности в организациях зачастую считают поглотителями финансовых средств, далеко не всегда приносящими желаемую отдачу. Чем определяется выбор направлений затрат в компаниях, принимавших участие в нашем опросе? Приведем пару довольно интересных результатов:

• 49% опрошенных утверждают, что затраты на безопасность зависят исключительно от оценки рисков;

• 66% отметили, что в их организациях расходы определяются доходами каждого из направлений бизнеса.

Возникает вопрос: ведется ли в компаниях «борьба с пожарами» повсюду, где они появляются, или же защитить стремятся лишь наиболее ценные активы? Интересно также, какова степень распыления расходов между разобщенными активами. В любом случае высокотехнологичные операции нуждаются в защите: 59% опрошенных заявили, что после перевода экосистемы бизнеса на цифровые рельсы их компании стали инвестировать в безопасность больше.

Информационная безопасность – 2018: то, что происходит сегодня, связано с ошибками планирования

66% отметили, что в их организациях расходы определяются доходами каждого из направлений бизнеса

 

Роботы и гаджеты

Роботы, устройства Интернета вещей и другие распределенные встроенные системы начинают из произведений научной фантастики перемещаться в реальный мир и нуждаются в защите. Некоторые компании уже внедряют у себя роботов, и их беспокойство в отношении угроз безопасности вполне обоснованно: 40% опасаются кибератак, которые могут привести к нарушению производственных процессов, а 22% говорят даже о потенциальной угрозе жизни людей.

Гаджеты Интернета вещей, наверное, не столь опасны для жизни, но это не может стать поводом для самоуспокоения. 67% компаний уже имеют или планируют стратегию в отношении Интернета вещей, но только 34% оценивают риски Интернета вещей для бизнеса. Кто конкретно отвечает за безопасность Интернета вещей? Ответы респондентов таковы: 29% указывают на директора по информационной безопасности, 20% – на инженерный персонал, а 17% называют ответственным директора по рискам.

Информационная безопасность – 2018: то, что происходит сегодня, связано с ошибками планирования

67% компаний уже имеют или планируют стратегию в отношении Интернета вещей

 

Защита облака

Несмотря на то что только у 46% компаний имеется стратегия обеспечения безопасности облачных вычислений, переход в облако происходит, и происходит быстро. Уже сейчас 46% опрошенных утверждают, что большая часть ИТ-сервисов у них доставляется через облако, а 60% рассчитывают на то, что это произойдет в течение ближайших пяти лет. Если говорить о данных, то тут положение дел меняется еще быстрее: 40% уже хранят важные данные в различных облачных ресурсах, а 36% планируют проделать это в ближайшие год-полтора.

А теперь перейдем к использованию моделей облачных вычислений (учтите, что каждой из них присущи свои собственные проблемы, связанные с безопасностью):

• публичное облако – 34%;

• частное облако – 55%;

• гибридная модель – 29%.

Драгоценные данные

Компании начинают понимать, что клиентские данные являются одним из самых ценных активов, а их утечка может привести к фатальным последствиям. К сожалению, лишь около половины организаций принимают меры для защиты этой информации:

• 53% компаний требуют от сотрудников изучения политики конфиденциальности и принятия мер по защите соответствующих данных;

• 49% ограничивают возможности сбора персональной информации, ее хранения и доступа к ней тем минимальным объемом, который необходим сотрудникам для выполнения их легитимных функций;

• 51% следят за процессом сбора, передачи и хранения персональных данных своими сотрудниками.

Тем не менее можно утверждать, что компании постепенно начинают осознавать приоритетность культуры защиты конфиденциальной информации: 67% опрошенных сообщили, что за соблюдением соответствующих правил следит директор по конфиденциальности или специальный сотрудник, а 12% планируют ввести у себя такую должность в течение ближайшего года.

– Josh Fruhlinger. Information security, 2018: What we have here is a failure to plan. CSO. October 18, 2017