Специалисты по ИТ-безопасности не уверены в мерах информационной безопасности в своих организациях
Дата: 03.02.2004Источник: www.crime-research.ru
Автор: Дмитрий Крамаренко
Исследования журнала «CSO» (Главные специалисты по безопасности) показали, что 60% опрошенных инвестируют в безопасность либо "вдогонку", либо "с опозданием".
Опрос, проведенный среди 520 главных специалистов по ИТ-безопасности в различных компаниях, показал, что большинство (52%) опрошенных только "отчасти уверены" в эффективности своих систем информационной безопасности; 12% опрошенных не уверены или считают собственную систему информационной безопасности неэффективной. Только одна треть респондентов (33%) охарактеризовали финансирование безопасности как плановое, 45% финансируют информационную безопасность «вдогонку» (когда возникает необходимость) и 15% ответили, что в этом плане их компания отстает. Каждый из 10 (8%) респондентов считает, что его компания преуспевает в системе безопасности, а 35% обеспокоены состоянием информационной безопасности компании.
«Главные специалисты по безопасности столкнулись с уникальной проблемой – оценка возврата от инвестиций в систему безопасности», - говорит Лью МакКрири, главный редактор журнала «CSO» и редакционный директор CXO Media Inc., публикующих журналы «CSO» и «CIO». Конфиденциальность в организации вытекает из внедрения безопасности, как в бизнес, так и в культуру компании. Цель – создать показатель, который подтвердит безопасность и отойти от уверенности в том, что ничего плохого не произойдет, только потому, что это нереально». Не удивительно, что опрос показывает прямую зависимость между инвестициями в безопасность компании и ее надежностью. Специалисты, сообщившие, что они «полностью» или «очень уверены» в своих мерах по безопасности, имеют самые большие затраты в бюджете на безопасность. Кстати, эта группа также указывала на самый низкий уровень киберпреступлений и денежного ущерба от этих инцидентов.
За последние 12 месяцев только 22% опрошенных специалистов по безопасности в своих отчетах не упоминали о киберпреступлениях. Однако большинство опрошенных (52%) все еще не выделяют общие финансовые потери, причиненные киберпреступлениями. И менее четверти (23%) привлекают киберпреступников к ответственности.
Тем не менее, большинство сотрудников определяли планы на случай бедствий или серьезных преступлений. У 64% опрошенных есть подразделения быстрого реагирования на киберпреступления, которые предотвращают любые инциденты, связанные с безопасностью, быстро и эффективно. 80% говорят, что у них есть лицо ответственное за планирование действий в случае стихийных бедствий.
Подчеркивая свою обеспокоенность по поводу киберпреступлений, специалисты по безопасности продолжают считать своих сотрудников и других «доверенных инсайдеров» (лица, имеющие доступ к внутренней информации о корпорации; обычно инсайдерами являются директора и старшие менеджеры, подрядчики, консультанты, партнеры) наиболее опасными с точки зрения угрозы кибербезопасности для их организаций. На самом деле, 74% респондентов отмечают, что вопросы безопасности являются главной причиной, по которой они осуществляют мониторинг сотрудников. Наиболее распространенные методы: мониторинг соединений по Интернет (74%); изучение всего, что непосредственно связано с работой (62%); хранение и просмотр сообщений электронной почты (43%). Некоторые сотрудники отделов безопасности сообщают, что они записывают сотрудников на работе на видеокамеру (18%); записывают и прослушивают телефонные разговоры сотрудников (12%); хранят и прослушивают сообщения голосовой почты (7%).
«С точки зрения безопасности, выделяют интенсивность и производительность труда, как основные стимулы для наблюдения за сотрудниками», - добавил МакКрири. «Пока многие специалисты по безопасности видят наиболее значимую угрозу безопасности в своих настоящих сотрудниках, они также подвергаются атакам хакеров и информационных террористов. Поскольку ставки возрастают, руководители борются с защитой от внешних угроз, и в это же время, думают о мониторинге, достаточном для борьбы с внутренними угрозами».
Более $250 млн. - 3%
$100 до $249.9 млн. - 3%
$50 до $99.9 млн. - 2%
$25 до $49.9 млн. - 3%
$10 до $24.9 млн. - 6%
$5 до $9.9 млн. - 6%
$1 до $4.9 млн. - 19%
$500.000 до $999.999 - 11%
$250.000 до $499.999 - 11%
$100.000 до $249.999 - 15%
$50.000 до $99.999 - 10%
Менее чем $50.000 - 12%
Средний бюджет на БЕЗОПАСНОСТЬ (2004): $15.757.000
$1.5 млрд. или более - 4%
$1 млрд. до $1.49 млрд. - 2%
$500 млн. до $999.9 млн. - 3%
$250 млн. до $499.9 млн. - 3%
$100 млн. до $249.9 млн. - 5%
$50 млн. до $99.9 млн. - 7%
$10 млн. до $49.9 млн. - 17%
$5 млн. до $9.9 млн. - 11%
$3 млн. до $4.9 млн. - 10%
$1 млн. до $2.9 млн. - 16%
Менее чем $1 млн. - 24%
Средний бюджет на ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ (2004): $134.283.000
Передовые - 8%
Плановые - 33%
Вдогонку (когда возникает необходимость) - 45%
С опозданием - 15%
75% до 100% - 3%
50% до 74% - 16%
25% до 49% - 27%
Менее чем 25% - 53%
Среднее - 30%
Обучение и инструктаж сотрудников по политике и методике безопасности - 70%
Оценка риска - 64%
Обеспечение непрерывности и гибкости бизнеса и восстановления от бедствий - 64%
Снижение рисков - 64%
Осуществление политики безопасности - 61%
Соединение стратегий: безопасности и бизнеса - 53%
Установление политики безопасности - 47%
Обеспечение физической безопасности на рабочих местах и для персонала - 30%
Поощрение реальных управленческих ожиданий успеха безопасности - 30%
Оценка возврата от инвестиций в безопасность - 26%
Увеличение расходов/бюджета на безопасность - 17%
Другое - 6%
Оценка уязвимости - 26%
Физическая безопасность - 22%
Обнаружение и предотвращение вторжения - 20%
Создание виртуальной частной сети/Брандмауэр (VPN/firewall) - 18%
Другие функции безопасности - 14%
Антивирус - 13%
Антиспам - 12%
Фильтр содержания - 11%
Анализ риска - 11%
Не осуществляется - 43%
Оценка уязвимости - 23%
Обнаружение и предотвращение вторжения - 19%
Антиспам - 13%
Другие функции безопасности - 13%
Анализ риска - 12%
Физическая безопасность - 11%
Фильтр содержания - 9%
Антивирус - 9%
Создание виртуальной частной сети/Брандмауэр (VPN/firewall) - 8%
Не будет осуществлять - 54%
Да - 15%
Нет - 85%
Чрезвычайно уверен - 5%
Очень уверен - 31%
Более-менее уверен - 52%
Не очень уверен - 10%
Совсем не уверен - 2%
50 или более - 6%
25 до 49 - 2%
10 до 24 - 8%
1 до 9 - 43%
Не было - 22%
Не знаю - 19%
Среднее - 9%
$100 млн. или более - 1%
$10 млн. до $99.9 млн. - 0%
$1 млн. до $9.9 млн. - 1%
$500.000 до $999.999 - 3%
$100.000 до $499.999 - 7%
Менее $100.000 - 36%
Мы не измеряли потери - 52%
Средние - $902.000
Средние (-$100 млн. + ответные действия) - $480.000
Да - 53%
Нет - 34%
Не уверен - 13%
Не работала электронная почта и приложения - 62%
Не работала сеть - 51%
Не работала база данных клиентов - 11%
Не работала база данных сотрудников - 9%
Правовое разоблачение - 9%
Компрометация брэнда/репутации - 7%
Финансовые потери - 7%
Потеря или повреждение внутренних записей - 5%
Кража интеллектуальной собственности - 3%
Компрометация зап...
Добавить комментарий |
Всего 0 комментариев |