По данным опроса, проведенного Ernst&Young LLP, пренебрегающие защитой информации компании несут неисчислимые убытки от случайных ошибок, вирусов, а также вторжений внутренних и внешних хакеров.
Ущерб, причиняемый кражами денег и оборудования, подсчитать нетрудно, но вот выразить в долларах потери, понесенные в связи с воровством коммерческих секретов, намеренным удалением или порчей данных и сбоями сети, практически невозможно.
"В случае с компаниями-разработчиками ПО, их основным преимуществом являются исследования и разработка", - сказал Скотт Рэмзи, директор отдела защиты информации Ernst&Young. Если будет украдена написанная такой компанией программа, фирма расстанется не только со стоимостью проделанной работы. Нельзя не учитывать также "будущий доход и судебные издержки, которые пойдут на доказательство факта кражи".
54% из 1320 опрошенных заявили, что в течение последних двух лет были случаи, когда они несли убытки, связанные с пренебрежением защитой информации и восстановлением от сбоев. Если к двум вышеупомянутым причинам потерь добавить еще и компьютерные вирусы, то число пострадавших составит 78% опрошенных, причем три четверти из них не смогли оценить объема своих потерь.
Для проведения опроса Ernst&Young и InformationWeek разослали в августе анкеты ответственным сотрудникам американских и канадских компаний, связанным с информационными системами. Ниже приведены причины убытков и процент опрошенных, пострадавших по этим причинам.
Результаты опроса показывают, что многие руководители не заботятся должным образом о безопасности своих компаний. В лучшем случае они знают об уязвимых местах, но ничего не предпринимают. Компаниям следует ввести у себя должность администратора по защите информации.
"Угроза может возникнуть из-за незащищенного соединения с Internet, злоумышленных действий раздраженного чем-либо служащего, потери мобильного компьютера с ответственной информацией, промышленного шпионажа или простой небрежности, - говорит Рэмзи. - В США промышленный шпионаж преследуется законом, но в других странах - нет: мы заметили, что число "разведчиков", действующих из-за границы, увеличилось".
Из данных опроса следует, что электронная коммерция приобретает популярность не столь быстро, как ожидалось. В прошлом году около четверти опрошенных пользовались Internet для ведения важной деловой переписки, выполнения транзакций (в том числе финансовых операций и оплаты счетов) и заказа продукции. В этом году лишь 34% респондентов сообщили, что применяли Internet для подобных целей; 87% опрошенных отметили, что их компания использует Сеть в качестве электронной почты и исследовательского инструмента.
Около 40% выразили неудовлетворенность общей защищенностью соединения их компании с Internet. Менее одной трети опрошенных считают, что они смогли бы выявить наличие уязвимых мест, которые могут атаковать хакеры через Internet. 25% респондентов утверждают, что за последний год в сеть их компании были случаи проникновения извне через Internet.
"Поскольку с ростом числа фирм-партнеров и служащих, нанятых по контракту, опасность увеличивается, компаниям необходимо организовать мониторинг соединений между ними и их поставщиками услуг, -объясняет Рэмзи. - Руководство компаний еще не уяснило себе, что, предоставляя компьютерный доступ служащему, нанятому по контракту, они вручают "ключ от сокровищницы" случайному человеку, который вряд ли проработает у них долго".
Ernst&Young можно обратиться по Web-адресу: http://www.ey.com.
Цель - защита информации
Основные причины убытков компаний, пренебрегающих защитой данных
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
71% - не уверены в защищенности своих сетей.
10 советов от Ernst&Young по защите информации
- Заставьте служащих, поставщиков и нанятых по контракту работников подписать договор о неразглашении.
- Регулярно создавайте резервные копии информации, хранящейся на мобильных компьютерах.
- Установите правила загрузки в мобильные компьютеры и использования информации.
- Запретите пользователям оставлять на рабочих местах памятки, содержащие идентификаторы и пароли доступа в корпоративную сеть.
- Запретите оставлять на корпусах мобильных компьютеров памятки, содержащие идентификаторы и пароли, применяемые для удаленного доступа.
- Запретите использовать доступ к Internet не для деловых целей.
- Применение пароля на загрузку компьютеров должно быть обязательным для всех.
- Создайте классификацию всех данных по категориям важности и усильте контроль над ограничением доступа в соответствии с ней.
- Запирайте компьютеры либо любым другим способом предотвращайте доступ ко всем компьютерным системам по окончании рабочего дня.
- Введите правило использования паролей доступа к файлам, содержащим секретную или ответственную информацию.