«Принимая во внимание тот факт, — отмечают в «Эрнст энд Янг», что в настоящее время 80% организаций используют или собираются использовать планшетные мобильные устройства, а 61% организаций пользуются или собираются воспользоваться в течение следующих нескольких лет услугами «облачной» обработки данных, вероятность возникновения угрозы нарушения информационной безопасности отошла на второй план в стремлении успеть за быстрыми изменениями условий ведения бизнеса».
«Все больше крупных компаний из разных отраслей работают на основе компьютерных программ, а их продукция представляет собой онлайн-услуги, — говорит Пол ван Кессел, руководитель глобальной практики «Эрнст энд Янг» по оказанию услуг в области информационных технологий и ИТ-рисков. — Куда ни взгляни, в основе лежит передача данных. Столкнувшись с условностью границ, необходимостью пользоваться услугами «облачной» обработки данных и создавать бизнес-модели в «облаке», компании задаются вопросом: как реагировать на появление новых рисков и нуждаются ли их стратегии в пересмотре? В данном вопросе необходимо переходить от краткосрочных решений к более глобальному подходу, включающему в себя установление долгосрочных стратегических корпоративных целей».
Финансирование
У авторов исследования вызывает оптимизм то обстоятельство, что в ближайшие 12 месяцев 59% респондентов планируют увеличить бюджет на обеспечение информационной безопасности. Тем не менее, лишь 51% опрошенных заявили, что у них имеется документально оформленная стратегия информационной безопасности.
В качестве приоритетного направления финансирования в сфере информационной безопасности на ближайшие 12 месяцев респонденты назвали обеспечение безопасности «облачной» обработки данных. В целом же, второй год подряд респонденты отмечают обеспечение непрерывности деятельности в качестве основного направления финансирования.
Планшетные мобильные устройства
Применение планшетных мобильных устройств и смартфонов занимает второе место в списке наиболее серьезных проблем, с которыми сталкиваются компании при внедрении новых технологий. При этом более половины респондентов рассматривают данную проблему как «сложную» или «очень сложную».
Изменения в политике компаний и создание программ по повышению осведомленности сотрудников являются двумя основными мерами по контролю рисков, возникающих в связи с появлением новых мобильных технологий, напоминают в «Эрнст энд Янг».Уровень применения методов обеспечения безопасности и использования соответствующего программного обеспечения остается низким. Так, криптографические технологии используются менее чем в половине (47%) организаций.
Формирование доверия к «облаку»
Несмотря на очевидную необходимость использования технологий «облачной» обработки данных, многие организации все еще не могут определить последствия применения данной технологии и поэтому прилагают еще большие усилия для лучшего понимания ее влияния и связанных с ней рисков, говорят в «Эрнст энд Янг». В 2011 году 48% респондентов отметили внедрение технологии «облачной» обработки данных в качестве «сложной» или «очень сложной» задачи, а более половины не применяли каких-либо средств по контролю рисков, возникающих в связи с использованием «облачных» технологий. Наиболее распространен контроль процесса сопровождения договоров, заключаемых с поставщиками «облачных» технологий, однако даже эта мера применяется лишь 20% респондентов, что свидетельствует о высоком уровне доверия, которое, возможно, основано на ложных предпосылках.
— Складывается ощущение, подчеркивает ван Кессел, — что в условиях отсутствия четких рекомендаций многие организации принимают необоснованные решения: либо начинают использовать технологию «облачной» обработки данных, будучи совершенно к этому не готовыми и не приняв во внимание связанные с этим риски, либо вообще отказываются от «облачных» технологий. Несмотря на то, что многие организации внедрили технологию «облака», большинство сделало это неохотно. Почти 90% респондентов поддерживают идею внешней сертификации, при этом почти половина (45%) считает, что такая сертификация должна опираться на какой-либо согласованный стандарт. Несмотря на объединенные усилия многих организаций в этом направлении, одни лишь внешние компании не смогут контролировать все риски, связанные с «облачной» обработкой данных. Такие риски могут привести к существенным переменам в модели ведения деятельности организации, поэтому управление этими рисками должно осуществляться организованно, с использованием официально утвержденных процедур по управлению ИТ-рисками.
Социальные сети
Большинство респондентов (72%) в качестве основного риска отметили внешние умышленные атаки. Такие атаки могут осуществляться в связи информацией, полученной посредством использования социальных медиаресурсов с целью отправления определенных фишинговых сообщений адресным получателям.
«С целью осуществления контроля потенциальных рисков, связанных с использованием социальных сетей, — полагают исследователи,— организации принимают жесткие меры. Больше половины из них (53%) вместо того, чтобы приспособиться к переменам, принимая меры в масштабах предприятия, просто блокируют доступ к соответствующим сайтам».
Основной приоритет
Исследование показало, что лишь 12% респондентов рассматривают вопросы обеспечения информационной безопасности на каждом заседании совета директоров и менее половины (49%) респондентов, принявших участие в нашем исследовании, отметили, что деятельность их служб, занимающихся вопросами информационной безопасности, удовлетворяет требованиям организации.
Пол ван Кессел уверен, что в сложившейся ситуации требуется прагматичный и инициативный подход, а не реагирование на ситуацию: «Вопросы обеспечения информационной безопасности должны чаще обсуждаться с руководством, при этом необходимо разработать прозрачную стратегию, на которую можно будет опереться при внедрении технологии «облачной» обработки данных (но не только). Большинству компаний еще предстоит пройти долгий путь для реализации данной цели. Для того чтобы эффективно управлять ИТ-рисками в целом, организациям необходимо представлять полную картину того, что происходит в сфере ИТ-рисков. Такой целостный подход станет для компаний отправной точкой в процессе выявления и управления текущими и будущими ИТ-рисками и связанными с этим трудностями».
Николай Самодаев, руководитель направления по управлению ИТ и ИТ-рисками «Эрнст энд Янг» в СНГ, добавляет: «По практике работы на рынке СНГ, мы, к сожалению, также отмечаем недостаточно проработанную и целостную систему управления информационной безопасностью и ИТ-рисками, особенно это наблюдается на сложных с точки зрения ИТ-архитектуры и организационной структуры предприятиях. Организациям зачастую не хватает так называемого «helicopter view» — многие ИТ-инициативы бизнеса, проекты ИТ и информационной безопасности реализуются зачастую без учета их потенциальной взаимосвязи и потенциального влияния на возможные последствия, включая обеспечение непрерывности бизнеса и информационной безопасности».
Денис Викторов http://i-business.ru/
Бизнес слишком спешит в «облака», забывая об информационной безопасности: 4 комментария