В преддверии «Кода информационной безопастности» мы публикуем выдержки их статьи Джона Винэйтора (John Venator), президента и главы ассоциации Computing Technology Industry. Computing Technology Industry Association (CompTIA) - Ассоциация Индустрии Компьютерных Технологий является спонсором и создателем системы сертификации A+, подтверждающей базовый уровень навыков для компьютерных специалистов.

Безопасность продолжает оставаться высшим приоритетом

Обеспечение мер информационной безопасности становится все более важным вопросом для многих организаций. Руководство 78% европейских компаний считает этот аспект высшим приоритетом. Большинство компаний создает письменные документы о комплексной политике безопасности. 62% организаций указывают, что используют эту политику, тогда как в 2011 году их количество составляло всего 47%.

Кроме того, все больше внимания уделяется совокупности вопросов по обеспечению безопасности работы удаленных и мобильных служащих.
Среди компаний, создавших письменную политику безопасности, у 81% имеются документы по обеспечению компьютерной защиты удаленных и мобильных служащих. Следует регулярно обновлять политику безопасности, чтобы поддерживать ее действенность и возможность решать широкий круг задач, возникающих в процессе деятельности организаций. Решение текущих задач усложняется тем, что диапазон проблем, связанных с обеспечением защитных мер, постоянно изменяется.
Более половины всех респондентов ответило, что шпионящие программы являются одной из самых сложных проблем, с которыми сталкивается современная компания, чего практически не было несколько лет назад.

Рост расходов на информационную защиту

Помимо потребности в организационных изменениях, связанных с созданием письменных политик безопасности, значительно повышается необходимость в финансовых отчислениях предприятия.
Около половины респондентов исследования CompTIA намеревается увеличить расходы на внедрение технологий безопасности. Одна треть опрошенных ожидает увеличения расходов на обучение мерам информационной защиты. Среди тех, кто предполагает увеличить расходы, средний показатель этого роста составляет 19—23%.
Исследование CompTIA также показало, что на каждый доллар, потраченный на обеспечение мер информационной защиты, около 42 центов приходится на приобретение технологии, 17 — на поддержание системы безопасности, 15 — на обучение, 12 — на оценку безопасности, 9 — на сертификацию и оставшиеся деньги — на другие меры.
Сети предприятий постоянно усложняются — растет использование почтовых служб, интернета, средств оперативной пересылки сообщений, веб-почты, а также беспроводного доступа вкупе с быстрым распространением мобильных устройств.

Более 90% опрошенных заявляют, что применяют антивирусное ПО, брандмауэры и прокси-серверы, причем многие приложения используются не только служащими ИТ-отдела. За последний год существенно возросло использование также нескольких других технологий, например системы предотвращения вторжений (49%), управления физическим доступом (38%) и многофакторной проверки подлинности (32%).
Более двух третей организаций, расходующих по меньшей мере часть своего ИТ-бюджета на обучение персонала мерам обеспечения секретности или сертификацию, значительно выросло за последний год на 13% и составило 68%.

Снижение производительности труда в результате взлома системы безопасности значительно выше в сравнении с другими издержками. Участвующие в опросе компании оценили это влияние на издержки следующим образом:
– производительность труда — 35%;
– простой сервера или сети — 21%;
– деятельность, приносящая доход — 20%;
– физические активы — 17%;
– судебные издержки или штрафы — 8%.
Опрошенные оценили среднюю стоимость всех взломов системы безопасности в 369388 долл. на одну организацию. 3% компаний заявили о том, что самый серьезный взлом обошелся им в более чем 1 млн долл.
Благодаря возросшей надежности технологии, обеспечивающей политику безопасности, и большему вниманию, уделяемому обучению персонала мерам информационной защиты, снизилось количество взломов, причиной которых был только человеческий фактор.
Общий объем взломов системы безопасности, вызванный человеческим фактором, уменьшается с высокой скоростью.
Из числа взломов, причиной которых стал человеческий фактор, более половины обусловлены несоблюдением персоналом соответствующих защитных мер. Это обстоятельство указывает на то, что организациям необходимо обзавестись средствами по обеспечению информационной безопасности и высококвалифицированным ИТ-персоналом, прошедшим соответствующую подготовку. В то время как большинство компаний увеличивает инвестиции в технологии и политику безопасности, многие организации подвергают себя большому финансовому риску, причиной которого остается человеческий фактор.
При таком большом риске не удивительно, что все большее число фирм внедряет комплексные программы по обучению вопросам безопасности и делает его обязательным. Выгоды от такого обучения вполне очевидны. Среди компаний, организовавших тренинг для ИТ-персонала, 81% считает, что это позволило повысить уровень информационной защиты.
Почти три четверти этих компаний заявили о том, что возросшее понимание вопросов обеспечения безопасности и способность персонала активно определять потенциальные угрозы являются основными преимуществами, достигаемыми за счет обучения. Более половины опрошенных также указало, что тренинги позволяют повысить информационную защиту благодаря способности персонала быстро решать задачи и принимать более совершенные меры.
Тем не менее для многих организаций проведение специальных тренингов для ИТ-персонала по-прежнему остается больше исключением, чем правилом. Менее половины всех опрошенных компаний считает ИТ-тренинг обязательным, тогда как только около одной трети сочло необходимым обучение новых сотрудников и служащих ИТ-отдела. В целом, в настоящее время тренинг по мерам обеспечения информационной защиты считается обязательным в той или иной степени у 47% компаний.
Можно считать, что компании, не имеющие официального плана организации ИТ-обучения, подвергают себя значительному финансовому риску. Большинство предприятий согласилось с тем, что обучающие программы не только полезны, но и позволяют избежать крупных финансовых расходов.
Согласно исследованию, проведенному для оценки экономической целесообразности проведения ИТ-тренингов, снижение годовых расходов в среднем составляет 352 тыс. долл. на одну организацию.

Обучение удаленных и мобильных служащих

Надомная работа на ПК становится все более популярной в государственном и частном секторах. В настоящее время около четырех из пяти организаций (79%) обеспечивают доступ к данным для удаленных и мобильных служащих.
Как уже отмечалось, не удивительно, что за последние 12 мес. существенно выросла необходимость соблюдения мер информационной безопасности удаленными и мобильными служащими. Тем не менее вызывает недоумение факт, что менее трети компаний организовало проведение тренингов для этой категории служащих. В той же мере поражает то обстоятельство, что только 10% фирм планируют организовать тренинг в последующие 12 мес. Большинство компаний либо вовсе не рассматривало данный вопрос, либо не собирается в ближайшее время отправить этих служащих на учебу.
Основной причиной такого поведения является недостаток поддержки со стороны высшего руководства. Таким образом, в настоящее время подобные компании должны понять преимущества организации обучения для удаленных и мобильных служащих как важного компонента эффективной защиты информационных ресурсов корпорации.
Подавляющее большинство — 88% компаний из тех, кто предоставляет обучение для удаленных и мобильных служащих, считают, что количество взломов уменьшилось благодаря возросшей квалификации прошедших обучение работников этой категории. Вполне разумно ожидать, что фирмы, не планирующие подобные тренинги, рискуют в большей степени пасть жертвой атак на систему безопасности.
Таким образом, можно сделать вывод, что возросшие расходы на обеспечение мер информационной защиты и обучение персонала позволяют многим компаниям уменьшить количество взломов. Настораживает внимание то обстоятельство, что вырос уровень серьезности ошибок. Ясно, что по-прежнему остается большой риск повреждения защиты сети.
Поскольку рынок информационных технологий развивается и растут виды угроз, организации должны не только применять современные методы защиты, но и уделять должное внимание обучению персонала. При этом очевидна не только польза от тренингов по мерам обеспечения информационной защиты всех сотрудников предприятия, но и экономия расходов.