Согласно новому исследованию от Forrester Research, предприятия тратят
огромные средства на программы соответствия стандартам безопасности, подобным
PCI-DSS и HIPAA, однако
фонды эти могут уходить в неправильное русло в свете тех приоритетов, которые
указаны в большинстве программ обеспечения информационной безопасности.
К примеру, несмотря на то, что интеллектуальная собственность составляет до
62 процентов всех активов компаний, основной упор при создании их систем
безопасности делается на соответствие стандартам и правилам. По итогам
исследования выяснилось, что большинство управляющих, ответственных за
корпоративную безопасность, понимают истинное значение информационных активов,
однако все равно ориентируют программы обеспечения безопасности на соответствие
требованиям, а не на реальную защиту.
Авторы отчета пишут, что 80% бюджетов, выделенных на безопасность,
расходуется на две цели: соответствие требованиям и защиту важной корпоративной
информации, при этом суммы распределяются примерно поровну (по 40%). Однако
секреты фирм занимают до 62% их информационного портфеля, в то время как на долю
стандартизованных данных приходится всего 38%.
Участие в опросе приняли 300 старших IT-менеджеров. Они сообщили, что 41%
бюджетов на безопасность идет на программы, не связанные с вопросами
соответствия требованиям, а 39% уходит строго на них.
Эксперты Forrester также указывают: несмотря на то, что случайные утечки
данных и взлом являются наиболее распространенными рисками, преднамеренная кража
наносит в 10 раз больший финансовый ущерб. Впрочем, вне зависимости от числа и
степени тяжести таких эпизодов, IT-персонал по-прежнему склонен считать, что
развернутые инструменты контроля работают хорошо. На основании этого
исследователи приходят к выводу, что организации в большинстве своем не отдают
себе отчета в том, эффективны их программы защиты данных или нет.
