Price Waterhouse Coopers, крупнейшая в мире сеть аудиторских компаний, опубликовала ежегодный отчет «Changing the game. Key findings from The Global State of Information Security® Survey 2013». Его результатом стала оценка компаниями собственного уровня информационной безопасности.
В качестве респондентов исследования выступили более 9300 директоров по ИТ и ИБ из 128 стран по всему миру.
В отчете приводятся статистика по результатам опроса, а также выводы и комментарии экспертов PWC. На некоторых из них хотелось бы остановиться отдельно.
Чрезмерный оптимизм
Большинство респондентов дают достаточно оптимистичную оценку состояния собственной системы обеспечения ИБ:
- 42% респондентов заявляют, что в их организации определена и реализуется стратегия обеспечения ИБ;
- 68% респондентов считают, что им удалось в своих организациях привить сотрудникам «культуру ИБ;
- более 70% уверены в эффективности мероприятий по ИБ, которые реализованы внутри их организаций;
- подавляющее большинство респондентов считает, что в их организациях цели в области ИБ согласованы с целями бизнеса.
Однако этот оптимизм не разделяют эксперты PWC. В частности, по их оценкам, только 8% компаний-респондентов действительно отвечают критериям лидеров в сфере ИБ.
Другое подтверждение расхождения общей оценки уровня ИБ с реальным положением вещей можно найти в опросах о вовлечении служб ИБ при выполнении рутинных задач. Вот лишь некоторые примеры:
- только четверть респондентов отметила, что вопросы ИБ учитываются в проектах уже на этапе инициации;
- лишь треть респондентов представляет, где и какие данные заказчиков и контрагентов у них обрабатываются.
Прогнозы по инвестициям в ИБ
Рост бюджетов на ИБ, с одной стороны, несколько сократится: увеличения расходов на ИБ ожидают 45% респондентов в 2013-м году против 51% в 2012-м. С другой – меньше респондентов ожидают сокращения бюджетов, запланированных на реализацию комплексных ИБ-проектов. При этом рост бюджетов на ИБ, по мнению 46% респондентов, обусловлен экономическими условиями, но не потребностью в решении конкретных проблем ИБ.
Инциденты и денежные потери
Статистика по инцидентам и ущербу от них несколько противоречива. Количество инцидентов неуклонно растет, однако потери от них значительно снизились по сравнению с прошлым годом. Эксперты PWC находят причину противоречия в том, что многие организации не учитывали некоторые факторы при подсчете потерь: судебные издержки, репутационный ущерб и затраты на установку средств защиты.
Основные проблемы по оценке респондентов
Главное препятствие для повышения эффективности деятельности по обеспечению ИБ, по мнению более чем половины респондентов, недостаточное участие руководства и отсутствие прямого диалога между службами ИБ и топ-менеджментом, принимающим решения.
Также в список наиболее популярных проблем попал недостаток персонала и ресурсов для проведения обучения и повышения осведомленности сотрудников компании. По оценке участников исследования, это является основной причиной неэффективности разрабатываемых планов реагирования при возникновении чрезвычайных ситуаций.
Удивительное рядом
Самая парадоксальная тенденция — сокращение числа компаний, использующих базовые средства защиты: антивирусы, системы обнаружения вторжений, сканеры уязвимостей, системы сбора и корреляции событий и пр. Также из использования выходят документированные частные политики, включая, к примеру, резервное копирование, безопасность приложений, мониторинг и регистрацию событий, управление изменениями, классификацию данных.
«Новый мировой порядок»
Определенное любопытство вызывает распределение результатов исследования по регионам:
Азия является лидером по большинству показателей, включая число респондентов, уверенных в эффективности собственной системы обеспечения ИБ, объемы бюджетов на ИБ, средний уровень «культуры ИБ». Компании региона «хвастаются» реализацией лучших практик ИБ в части процессного подхода, реализацией мер безопасности при использовании облачных сервисов и мобильных устройств.
Несмотря на скромные прогнозы по росту бюджетов в Северной Америке, компании региона демонстрируют ряд позитивных показателей, особенно в части реализации планов, связанных с ИБ. К тому же сокращение бюджетов на ИБ при реализации ИТ-проектов в американских организациях незначительно.
Европа является лидером по набору персонала на позиции CISO и CSО.
Компании из Южной Америки догоняют коллег из лидирующих регионов в части инвестиций в ИБ, а также в части использования передовых инициатив в области безопасности облачных сервисов.
Источник: infosec.ru