Как показали результаты недавнего исследования в области информационной безопасности, проведенного аудиторской и консультационной компанией Ernst & Young (http://www.ey.com/globalsecuritysurvey), несмотря на хорошую осведомленность руководителей о рисках, которым подвергается информационная безопасность со стороны сотрудников их организаций, они не предпринимают адекватных мер.
По мере того, как организации берут на вооружение децентрализованные бизнес-модели, делегируя ряд функций внешним подрядчикам, им все труднее контролировать безопасность своей информации, а руководителям все труднее оценивать уровень риска. По словам Эдвина Беннета, директора международной практики Ernst & Young в области ИТ и компьютерной безопасности, компании могут делегировать выполнение работ, но не в состоянии делегировать ответственность за собственную безопасность.
Как подчеркивает Мишель Мур, партнер Ernst & Young, руководитель отдела услуг в области информационных технологий и компьютерной безопасности в России и СНГ, в нашей стране редки случаи делегирования функций обеспечения информационной безопасности внешним подрядчикам из-за отсутствия доверия к ним. Между тем, отечественные предприятия сталкиваются с типичными проблемами — недостаточным вниманием со стороны высшего руководства, нерегулярным проведением оценки рисков и недостатком (либо полным отсутствием) инвестиций в работу по снижению рисков, связанных с человеческим фактором. Исследование указывает на то, что предприятия по-прежнему уделяют основное внимание внешним угрозам, в то время как серьезность внутренних угроз постоянно недооценивается. Однако, гораздо больший ущерб компаниям может нанести некорректное поведение сотрудников, их оплошности, упущения или пренебрежение существующими стандартами. Так как многие происшествия с участием сотрудников остаются невыявленными, предприятия часто и не подозревают о недобросовестной работе персонала.
Компаниям следует уделять больше внимания поощрению внимательного отношения к вопросам безопасности. По мнению Беннета, компаниям следует изменить свой взгляд на информационную безопасность и относиться к ней как к одному из способов повышения конкурентоспособности, а не просто считать ее одной из статей расходов на ведение бизнеса.