Все больше компаний считает, что обеспечение информационной безопасности является одним из важнейших приоритетов для ведения бизнеса. Это требование все чаще формулируется в качестве главного к ИТ-специалистам. Самим вопросам защиты данных так же уделяется все больше внимания, что находит свое отражение в бюджетах компаний.

По данным исследования, проведенного в США в июне Secure Enterprise, эта тенденция сохранится в ближайшие два года. Компании не только продолжают профессионально готовить специалистов-безопасников, но и увеличивают инвестиции в это направление. В рамках упомянутого исследования было опрошено 431 специалиста американских государственных и коммерческих организаций.

Вопросы безопасности - в руки ИТ-специалистов

В настоящее время в большинстве компаний и государственных организаций Америки вопросами безопасности занимается ИТ-специалист, пишет Internetwk.com. Его основные рабочие функции сводятся к поддержке и настройке сетей. Но постепенно приходит понимание всей важности задачи по обеспечению защиты информации и необходимости привлечения специалистов, в обязанности которых будет входить решение только этих вопросов.

На вопрос о структуре отдела, отвечающего за информационную безопасность в рамках компании (или организации), около четверти опрошенных сообщили о наличии в штате специалистов, занимающихся работой исключительно в этом направлении. По сравнению с итогами аналогичного опроса, проведенного два года назад, их количество увеличилось на 10%. Около трети опрошенных (35%) ориентируются на то, что в ближайшие два года в их компаниях (или организациях) появятся эксперты по безопасности.

Структура службы ИБ предприятия

В последнее время существенно увеличилось общее число департаментов по вопросам информационной безопасности. Если 2 года назад подобного рода подразделения были только в 9% компаний, принявших участие в опросе, то в настоящее время их число увеличилось до 17%. В ближайшие два года этот показатель предположительно увеличится еще вдвое.

По словам Билла Томлинсона (Bill Tomlinson), директора по технологиям страхового брокера Willis North America, за последние два года департамент по ИБ в компании существенно расширился ввиду того, что увеличилось число электронных транзакций. Сейчас поддержкой межсетевых экранов и систем противодействия вторжениям занимаются 8 человек под руководством эксперта по вопросам защиты информации. Кроме того, несколько человек подразделения сотрудничают с техническими специалистами, поддерживающими работу сетей в компании в целом. При помощи департамента защиты информации компания обеспечивает внутренний контроль за безопасностью в работе с различными данными и информацией. Причем в данном случае держать собственный штат специалистов приоритетнее, чем заключать соглашения по аутсорсингу.

За ИТ-безопасность должны отвечать топ-менеджеры

Несмотря на то, что защита информации для компаний становится приоритетным направлением, только некоторые из них могут похвастаться наличием топ-менеджмента по этим вопросам. Должность директора по безопасности (CSO) существует пока только в 8% опрошенных компаний и организаций, отмечает издание Internetwk.com со ссылкой на опрос Secure Enterprise.

CSO отвечают за вопросы информационной, физической безопасности и защиту частных интересов. 10% компаний и организаций сообщили, что в их штате значится должность директора по информационной безопасности (CISO), то есть специалиста, курирующего исключительно вопросы защиты информации. Только в 6% компаний и организаций есть обе должности - CSO и CISO.

К примеру, в денверской компании-разработчике ПО J.D. Edwards, которую в июле приобрела PeopleSoft, должность CISO была создана около года назад. Менеджер должен отвечать за все аспекты информационной безопасности, в частности, защиты корпоративных сетей, установки специальных программных продуктов и обмен опытом в этой области с другими компаниями. Введение подобной должности, по словам Марка Эндри (Mark Endry), ИТ-директора J. D. Edwards, свидетельствует в первую очередь о значении, которое компания придает вопросам защиты данных. Одним из решающих факторов стало то, что в случае образования "дыр" в корпоративных сетях компания понесет серьезные потери, чреватые помимо всего прочего, потерей репутации и лояльности клиентов.

ИТ-безопасность - наша политика

Удивляет тот факт, что почти 1/3 опрошенных работают в компаниях, где нет определенной политики в сфере безопасности. Из 68% компаний, где все-таки таковая существует, менеджеры, влияющие на политику безопасности - это в основном ИТ-менеджеры, системные администраторы, ИТ-директора и руководители служб безопасности. Что же влияет и определяет формирование политики безопасности компании?

Согласно одному из исследований, взвешенная и продуманная политика безопасности позволяет создать благоприятные условия для развития бизнес-процессов. Добавьте к этому регулирующие соглашения, внешние нарушения безопасности, защиту корпоративного и бренд-имиджа и внутренние нарушения безопасности. Эти факторы заставляют организации тратить большие деньги на укрепление систем безопасности. Например, компания Cooper Tire & Rubber, производитель с оборотом в $3,3 млрд., расположенный в Финдли (шт. Огайо), по словам Лорена Вагнера, менеджера сетевых услуг, не имеет какой-либо определенной стратегии в сфере безопасности. Существующая политика покрывает только вопросы доступного использования компьютеров, связи, паролей и других общих вопросов ИТ-безопасности.

Управление риском

Политика компании идет рука об руку с продуктами и услугами. Упомянутое исследование показывает, что организации (большинство включают расходы на ИТ-безопасность во весь ИТ-бюджет) вкладывают больше средств в продукты и услуги по усилению безопасности.

Имеет ли ваша организация обязательную политику безопасности?

Является ли ИТ-бюджет составной частью всего бюджета организации?

Суммы, выделяемые на приобретение средств ИБ, требуют обязательного обоснования

Какие способы - формальные и неформальные - существуют в вашей организации для оценки целесообразности приобретения средств ИБ

Два года назад только 4,3 % организаций выделяли более 10% ИТ-бюджета на информационную безопасность, а 3/4 тратили 5% и менее, согласно опросу Secure Enterprise. Сегодня же наблюдается определенный сдвиг - 17% компаний выделяют 10% и более на ИТ-безопасность, а половина - 5% и менее. По прогнозам эти цифры будут расти. Два года назад только 32% опрошенных ожидали, что их компании будут тратить на ИТ-безопасность 5% и менее, а 33% думали, что 10% и более.

Американский опрос по информационной безопасности 2003, охвативший 815 ИТ-специалистов, показывает, что 81% организаций выделят на ИТ-безопасность больше или столько же средств, как и в прошлом году. Согласно Gartner, общие затраты на ИТ в этом году значительно увеличатся по сравнению с прошлым. Но для многих компаний - это будет первый год, когда более 5% ИТ-бюджета будет потрачено на безопасность. В течение этого года расходы на безопасность будут расти "по годовой ставке" 28% с 2001 года, а ИТ-бюджеты увеличатся за тот же период "по ставке" 6%.

Опрос Информационной Недели в США, проведенный в июне и июле, обнаружил, что компании инвестируют средства во многие продукты и услуги - межсетевые экраны (81%), антивирусное ПО (79%), VPN (71%), автоматизированная поддержка данных (51%), системы обнаружения вторжения (43%).

Прежде чем купить продукт из сферы ИТ-безопасности организации различными способами оценивают риски. Самый популярный метод - к удивлению, неформальный. Около 2/3 респондентов проводят неформальный анализ рисков или поводят внутренний аудит.

Выигрывая сражение?

По мнению опроса, проведенного институтом компьютерной безопасности и ФБР, придавая большее значение ИТ-безопасности, компании обретают силу в борьбе с хакерскими нападениями, по крайней мере, тогда, когда приходит время анализировать, почему организация несет убытки. Хотя процент респондентов, сообщающих о неправомочных действиях в компьютерных системах, остается низким, уровень финансовых потерь значительно снизился по сравнению с прошлым годом.

56% из 530 респондентов сообщили о несанкционированном использовании их компьютерных систем. В прошлом году эта цифра составила 60% и 59% в предыдущие годы. Основанная в Сан-Франциско профессиональная ассоциация ИТ-специалистов совместно с Сан-францисским отделом ФБР по борьбе с компьютерными преступлениями проводят ежегодный опрос (см. ниже).

Общие годовые потери в результате взломов компьютерных сетей в 2003 году составили примерно $202 млн., что на 56% меньше прошлогодней цифры ($455 млн.). Впервые с 1999 года отмечено снижение финансовых потерь.

Мотивационные факторы

(Что побуждает вашу организацию разрабатывать и совершенствовать политику безопасности? Что заставляет вашу организацию тратить средства на ИБ?)