Зростання загрози інформаційної безпеки з боку колишніх співробітників

У рамках дослідження було опитано понад 1900 керівників вищої ланки, що представляють понад 60 країн. За підсумками опитування з'ясувалося, що 75% респондентів стурбовані спробами помсти з боку нещодавно звільнених працівників. Крім того, 42% респондентів вже оцінюють потенційні ризики, пов'язані з цим питанням, а 26% – вживають заходів з мінімізації цих ризиків. Пол ван Кессел, керівник практики Ernst & Young Global з надання послуг у галузі управління інформаційними технологіями (ІТ), ІТ-ризиками та інформаційною безпекою, зазначає: «Враховуючи, що економіка, як і раніше, перебуває в стані рецесії, співробітники, що підлягають скороченню, можуть затаїти ворожість по відношенню до колишнього роботодавця. У їхньому розпорядженні маса способів, що дозволяють порушити безперебійне функціонування організації. Інформаційні системи таких роботодавців все частіше стають мішенню атак, крім того, поширюються випадки викрадення даних. Пріоритетне значення мають заходи з оцінки конкретних ризиків, спрямованих на виявлення потенційно незахищених ділянок та прийняття адекватних заходів у відповідь». Костянтин Невядомський, партнер «Ернст енд Янг», керівник відділу консультаційних послуг у галузі інформаційних технологій та комп'ютерної безпеки, коментує: «За даними проведеного дослідження, 50% компаній, незважаючи на кризу, планують збільшити витрати на управління ризиками, пов'язаними з безпекою інформації. Дуже приємно відзначити, що Україна не відстає від світових тенденцій. Останнім часом ми спостерігаємо зростання інтересу до питань побудови інформаційної безпеки на основі управління ризиками. Саме застосування ризикоорієнтованого підходу до питань інформаційної безпеки дозволяє уникнути невиправданих інвестицій організації в технології захисту інформації». Отримання необхідного бюджету, як і раніше, – непросте завдання У 2009 році завдання виділення бюджету на потреби інформаційної безпеки залишається досить непростим. 50% респондентів оцінюють ступінь його важливості як високий або значний. Такий результат демонструє істотне зростання (на 17%) у порівнянні з торішнім показником. Цей результат особливо важливий у світлі того, що 40% опитаних планують збільшити частку в сумарних витратах, що направляється на інвестиції в області інформаційної безпеки, а 52% мають намір зберегти ці витрати на колишньому рівні. Пол Ван Кессел продовжує: «Вирішення проблем інформаційної безпеки на сучасному етапі вимагає набагато більш істотного обсягу інвестицій, оскільки організації, затримавшись на старті, намагаються встигнути якомога швидше відреагувати на мінливий характер загроз. Разом з тим сфера інформаційної безпеки не захищена від впливу зовнішніх економічних чинників, тому керівникам ІТ-служб необхідно підвищувати ефективність діяльності, зводячи при цьому витрати до мінімуму». Дотримання нормативних вимог Дослідження дозволило з'ясувати, що питання дотримання нормативних вимог продовжують займати важливе місце в переліку пріоритетних завдань керівників відділів інформаційної безпеки, зберігаючи своє значення як рушійного фактора удосконалень у цій галузі. У відповідь на питання про те, яку суму їх компанії витрачають на забезпечення дотримання нормативних вимог, 55% опитаних зазначили, що витрати на ці цілі призвели до зростання загальних витрат на забезпечення інформаційної безпеки, при цьому ступінь зростання оцінюється ними як помірний або значний. Лише 6% респондентів планують скоротити витрати на забезпечення дотримання нормативних вимог протягом наступного року. Пол Ван Кессел пояснює: «Нормативні вимоги, розроблені державними та галузевими установами, безперечно, призвели до того, що організації почали більш чітко структурувати підходи до вирішення питань інформаційної безпеки. З одного боку, це добре, тому що дотримання таких вимог змушує організації поліпшувати принципи політики і процедури інформаційної безпеки. З іншого боку, організації продовжують розглядати дотримання нормативних вимог як побічний продукт, а не найважливіший чинник забезпечення інформаційної безпеки». Використання технологій Частіші випадки порушення безпеки даних призвели до того, що їх захист став пріоритетним завданням керівників відділів інформаційної безпеки. Впровадження або вдосконалення технологій запобігання витоку даних (DLP) займає друге за важливістю місце на найближчий рік. Цей напрямок назвали одним з трьох основних завдань 40% респондентів. Запобігання витоку даних – це поєднання механізмів і процесів з виявлення, моніторингу та захисту конфіденційної інформації. Одним з найбільш вражаючих результатів дослідження стала невелика кількість компаній, які шифрують дані в ноутбуках. В даний час таке шифрування виконують лише 41% опитаних, і всього 17% планують впровадити таку практику в наступному році. Цей факт викликає здивування з ряду причин: зростає кількість випадків порушень безпеки, що відбулися через втрату або викрадення ноутбуків; відповідна технологія вже готова до впровадження за доступною ціною; вплив процесу шифрування на діяльність користувачів відносно малий і більше не має служити перешкодою. Пол Ван Кессел робить висновок: «Наше дослідження показує, що рівні як зовнішніх, так і внутрішніх ризиків продовжують рости. Для управління ризиками інформаційної безпеки необхідний гнучкий підхід, який вимагає концентрації уваги на питаннях, що мають першорядне значення для компаній у сфері захисту критично важливої інформації. Організація, а зокрема її служба інформаційної безпеки, не зможе в повному розумінні слова приступити до координації своїх потреб у галузі безпеки, не маючи уявлення про використання інформації в рамках ключових бізнес-процесів». Про дослідження Міжнародне дослідження «Ернст енд Янг» з питань інформаційної безпеки за 2009 рік було проведене за сприяння клієнтів аудиторської та консультаційної практики «Ернст енд Янг» з більш ніж 60 країн. Опитування проводилися в період з червня по серпень 2009 року. Результати були переважно отримані за підсумками бесід з керівниками, які представляли близько 1900 компаній, що ведуть діяльність у всіх основних секторах економіки. Про компанію «Ернст енд Янг» «Ернст енд Янг» є міжнародним лідером з аудиту, оподаткування і права, супроводу транзакцій і консультування. Спільні цінності та високі стандарти якості об’єднують 144 тисячі наших співробітників в усьому світі. Ми створюємо перспективи, розкриваючи потенціал наших співробітників, клієнтів і суспільства в цілому. В Україні компанія веде діяльність з 1991 року. Зараз в офісах «Ернст енд Янг» в Україні працюють понад 500 фахівців, що надають повний спектр послуг міжнародним і українським компаніям. Дізнайтеся більше на сайті ey.com/ukraine.