Риски и угрозы, с которыми сталкиваются предприятия, усложняются с каждым
днем.
В ответ на эти угрозы увеличивается количество постановлений и законов,
уведомляющих о нарушениях.
Учитывая все возрастающие риски, хочется думать, что предприятия с
стратегически подходят к решению проблем. Но это, к сожалению, не так, если
верить ежегодному исследованию Global Information Security Survey, проведенному
журналами CSO и CIO в сотрудничестве с PricewaterhouseCoopers. В опросе приняли
участие более 9 600 руководителей в области бизнеса и технологий, и 43% из них
уверены, что их предприятия являются лидерами в ИТ.
Согласно исследованию, лишь 11% признают увеличение внимания к защите данных
своим "Главным приоритетом". То же самое количество, или меньше, придают важное
значение управлению и соблюдению требований (10%), вложениям в безопасность на
основе рисков (8%).
Те же самые респонденты, согласно опросу, увеличивают инвестиции в такие
технологии защиты, как файрволы, системы обнаружения вторжений, anti-malware и
др.
Если вкратце, предприятия, принявшие участие в исследовании, вкладываются в
инструменты и продукты для повышения безопасности, но они не расставляют эти
вложения по приоритетам или не вкладывают значительные средства во внутренние
системы, чтобы убедиться, что они работают.
"Мы выяснили, что чаще всего бывает именно так", - написал Робби Хиггинс,
вице-президент поставщика ИТ решений GlassHouse Technologies. "Предприятия легко
оправдывают покупку железа и ПО. Если внимательно посмотреть, то можно увидеть,
что у них есть все необходимые технологии. Однако, во многих случаях, на местах
они устанавливают слабый контроль над безопасностью".
"Можно двояко взглянуть на эти данные", - объяснил Дэниел Кеннеди, директор
исследований информационной безопасности и управления сетями в исследовательской
фирме TheInfoPro. "Можно радоваться уверенности предприятий в степени своей
защищенности. У них ведь должна быть на это какая-то причина. Однако мне
интересно, нет имеет ли здесь место нечто вроде
эффекта Даннинга-Крюгера, когда неопытные люди принимают неверные решения,
при этом даже не осознавая свой некомпетентности".
В конечном итоге, по словам Хиггинса, организации, которые вкладываются в
технологии, но забывают о людях и процессах, необходимых для того, чтобы эти
технологии должным образом использовать, подвергают себя еще большему риску.
"У них есть все необходимые инструменты, но вопрос заключается в том, знают
ли, как их применять в борьбе с теми угрозами, которые существуют именно в их
среде? Спроектирована ли их инфраструктуру таким образом, чтобы иметь системы
контроля, необходимые для защиты от угроз?", - спрашивает Хиггинс. "Теперь у них
есть ложное чувство защищенности, и именно из-за того, что они переоценивают
значение технологий, они подвергаются еще большему риску".
