Хакер #305. Многошаговые SQL-инъекции
Стандарт безопасности данных индустрии платежных карт (PCI) - животрепещущая
тема, но недавнее исследование, проведенное компанией Gartner показало, что 18%
респондентов признались в том что они не PCI-совместимы, хотя в исследовании
подразумевалось, что они должны были соответствовать этим стандартам.
Gartner провел ряд исследований в период с июня по сентябрь этого года на
ежегодном IT-саммите Gartner по информационной безопасности, мероприятиях
Catalyst в Северной Америке и на их собственном саммите по безопасности и рискам
в EMEA. Опрос 383 IT-менеджеров выявил тренды в поведении при совершении покупок
и позволил спрогнозировать будущие расходы на обеспечение безопасности.
"Учитывая, что многие провайдеры технологий на рынке безопасности нацелены на
то, чтобы помочь клиентам соблюсти требования PCI-совместимости, было
удивительно обнаружить, что такой высокий процент респондентов не являются
PCI-совместимыми", - сказал Лоуренс Пингри, директор по исследованиям
Gartner.
"Провайдеры технологий и услуг должны продолжить распространять свои
технологии, чтобы помочь клиентам решить проблемы с соблюдением стандартов
безопасности для PCI. Организации-конечные пользователи также должны проводить
работу по повышению информированности о своем соответствии PCI-стандартам
безопасности, для того, чтобы сотрудники организации точно знали, соответствует
ли их компания стандартам PCI или нет", - добавил он.
Господин Пингри считает, что изменения — это ключевой элемент при
исследовании бюджета. В прошлом году 55% опрашиваемых сообщили, что их бюджеты
останутся прежними в следующем году, однако, в этом году только 30% подтвердили
это.
Кроме того, 33% респондентов ожидают увеличение их бюджетов, из них 22%
ожидают увеличение IT-бюджета на 5% и более, по сравнению с 20% в прошлом году,
то есть имеет место небольшое увеличение общих расходов на безопасность.
Несмотря на этот факт, 15% опрошенных в прошлом году заявили, что ожидают
сокращения IT-бюджета, в прошлом году о подобном заявляли только 9%.
В этом году планировщики бюджетов по IT-безопасности, надеявшиеся на
увеличение бюджетов, ожидают еще более значительный рост бюджетов, по сравнению
с прошлым годом. В прошлом году ожидалось, что 6% от общей суммы IT-ассигнований
пойдет именно на обеспечение информационной безопасности.
Исследование этого года показало, что отчисление средств в среднем составило
10,5%, и, соответственно, выросло более, чем на 4%. Это доказывает, что в
среднем 10 центов из каждого выделенного IT-доллара пошло на обеспечение
информационной безопасности.
В Gartner выяснили, что основная часть средств была потрачена на персонал,
как было и в предыдущем году, однако, в этом году данная статья расходов
сократилась с 35 до 32%. Консультационные и аутсорсинговые услуги также
уменьшились, по сравнению с прошлым годом, консалтинг значительно сократился с
14% в прошлом году до 11% в нынешнем, а аутсорсинг, соответственно, с 18 до 11%.
Увеличение бюджетов коснулось и расходов на оборудование и программное
обеспечение, расходы на оборудование выросли с 18% в прошлом году до 22% в
нынешнем, а расходы на программное обеспечение — с 20 до 22%, так как
организации продолжают работу по развертыванию продуктов для удовлетворения
спроса на безопасность высокого уровня, связанного с недавними утечками
информации из прессы и крупных компаний.
Господин Пингри считает, что предприятия планируют сокращение своих расходов
на информационную безопасность за счет новых технологий, освоенных ими в этом
году, применяя усовершенствованную начальную интеграцию или за счет сокращения
текущего внешнего консалтинга. Они, скорее всего, осуществят это за счет
повышения степени автоматизации многих продуктов безопасности и работы над тем,
чтобы сделать внутренние рабочие процессы по обеспечению безопасности более
эффективными, снижения спроса на общечеловеческие ресурсы или снижения затрат на
консалтинг.
Отвечая на вопрос о самых важных проектах информационной безопасности в 2011
году, респонденты наиболее часто упоминали о предотвращении утечки данных (DLP),
наряду с инициализацией пользователей и событийным маркетингом, шедшими на
втором месте, на третьем месте оказались системы управления инцидентами и
событиями в области информационной безопасности (SIEM). Обнаружение вторжений,
контроль доступа к сети, безопасность приложений и IT-управления, инструменты
для управления рисками и совместимостью (GRCM) тоже занимают высокие позиции в
рейтинге.
"Этот новый акцент на предотвращении утечки данных, имеет решающее значение
при рассмотрении вопроса о динамической природе облачных сред и тенденции для
виртуализации рабочих нагрузок приложений", - сказал господин Пингри. "Это будет
иметь особенно важное значение для того чтобы поддержать приспособление
различных видов бизнес-политики для контроля различных типов данных, а также
различных типов перемещения данных в рамках необходимых рабочих нагрузок
приложений".