Станет ли информационная безопасность бизнес-технологией?

Говорить о глобальных трендах информационной безопасности всегда трудно, но в то же время очень интересно. Каждая компания, играющая на этом рынке, пытается передернуть одеяло на себя, рассказывая о растущей опасности грозных вирусов, загадочных китайских хакерах, зомбированных сетях или неконтролируемых инсайдерах. Мы все, специалисты по безопасности живем под толстым слоем маркетингового соуса, который льется на нас из тех изданий и сайтов, которым мы больше всего доверяем. О том, что происходить в отрасли на самом деле никто из нас не знает.

С одной стороны, это вроде бы не так плохо - компании активно защищаются от несуществующих угроз, вендоры получают на этом какую-то прибыль, а общий ВВП страны растет. Все счастливы. Даже руководители компаний, которые тратят деньги на коктейл-плацебо из бесполезных технологических решений, тоже не испытывают никаких проблем. Они крепко спят, поскольку искренне верят в свою защищенность.

Мы не хотим сказать, что информационная безопасность - миф, и ее надо игнорировать. Защищаться необходимо, но делать это надо с умом, учитывая требования бизнеса. Почему большинство специалистов обновляют операционные системы? Потому что в противном случае компании станет плохо. Однако почти никто не думает, как именно станет плохо. Как именно неустановка того или иного патча приведет к реальным материальным потерям. И где найдется тот злоумышленник, который вдруг решит использовать именно эту уязвимость применительно к этой конкретной компании?

И так происходит практически всегда. Технологический (а на деле маркетинговый - просто никто в этом себе не признается) подход к безопасности до сих пор сидит в мозгах специалистов. О бизнесе никто из них не думает.

Эта идея проходит красной нитью в новом глобальном исследовании компании PricewaterhouseCoopers ("PwC") на тему информационной безопасности. В исследовании "Global State of Information Security Study 2008" приняли участие сразу 7 000 специалистов С-уровня из 119 стран мира, в том числе, и России. В этой статье, мы попытаемся осветить основные результаты PwC понятным для большого бизнеса языком.

Результат первый. Зачем вообще нужна безопасность?

И правда, может ну ее, эту безопасность? Особенно в условиях кризиса?

Однако нет, совсем игнорировать безопасность нельзя, это понимает даже ребенок. Нужна она, прежде всего, для того, чтобы избежать проблем. Чтобы сотрудники работали, а не искали на сайте вирусной энциклопедии инструмент для удаления троянского коня. Чтобы клиенты платили деньги вам, а не группе восемнадцатилетних хакеров, которые взломали биллинг от нечего делать. Чтобы конкуренты не знали о том, что завтра вы выпустите новую модель своего продукта с использованием современных нанотехнологий.

Исследование PwC гласит, что "в течение последних десяти лет главным мотивом внедрения решений по безопасности было стремление избежать возможных потерь". А что происходит сейчас? А сейчас происходит то же самое (рис. 1), поскольку защита от возможных потерь - и есть основная сущность безопасности.

Рис. 1. Зачем нужна информационная безопасность? Источник: PwC, Perimetrix, 2008.

Вместе с  тем, существуют и другие факторы, которые побуждают внедрять самые современные решения. Эти факторы определяются емким английским словом "compliance", которое переводится как "соответствие". Соответствовать можно двум концептуальным вещам - либо внутренней политике (а внутренняя политика есть следствие желания избежать потерь), либо внешним нормативным актам. На последнем следует остановиться чуть подробнее.

Дело в том, что с начала 21-го века в западном развитом обществе было приняты несметное количество нормативов, которые обязывают что-то и как-то защищать. Некоторые из них (типа SOX и Basel II) только подразумевают информационную безопасность, другие (PCI DSS и HIPAA) - о ней напрямую говорят. Хочешь не хочешь, но если ты - западная компания, тебе приходится соответствовать. Иначе тебе выпишут миллионный штраф или какой-нибудь клиент лихо засудит тебя за то, что ты кому отдал его номер мобильного телефона.

Эксперты аналитического центра Perimetrix отмечают, что в России также есть кое-какие нормативы (например, Федеральный Закон "О персональных данных"), однако большинство компаний не заморачиваются и просто их игнорируют. Но долго так продолжаться не может - рано или поздно государство обяжет их выполнять. Другое дело, что российское "соответствие" существенно отличается от западного. В нашей стране, это понятие подразумевает не выполнение каких-то требований, а закупку сертифицированных решений. Иногда, их даже внедрять необязательно. Помните об этом.

Результат второй. Технология или бизнес? А может, бизнес-технология?

Эксперты PwC отмечают, что в прошлом году существенно (на 17-20%) повысилось количество компаний, установивших общую стратегию по безопасности или внедривших соответствующего специалиста в состав своего топ-менеджмента. Что случилось в нынешнем году? Все вернулось на круги своя - на рынке продолжилось бездумное внедрение технологий.

Рис. 2. Популярность различных технологий. Источник: PwC, Perimetrix, 2008.

Источник: www.securitylab.ru


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок