("Телеком. Коммуникации и сети", №1-2/2008)
В ходе нового исследования компания Deloitte & Touche опросила 100 организаций. Их масштабы (штат 54 % из опрошенных компаний насчитывает более 5 тыс. сотрудников, а обороты 47 % превышают $1 млрд), конечно, не типичны для украинского рынка. Однако, если учитывать тот факт, что проблемы обеспечения ИБ связаны не столько с размерами компаний, сколько с технологиями, организационными вопросами и спектром предоставляемых конечным пользователям услуг и возможностей, становится ясно: большая часть фактов, собранных в ходе глобального исследования, вполне актуальна и для украинских компаний.
Нет ничего хуже, чем оставить какой-либо важный бизнес-процесс без внимания. А значимость информационной безопасности для выживания компаний в секторе TMT (Technology, Media & Telecommunications) трудно переоценить. Основная цель упомянутого исследования — рассказать игрокам рынка о том, что происходит вокруг них, у их коллег. Благодаря анонимности опроса его участники делились «самым сокровенным». И это практически единственный способ (если отбросить промышленный шпионаж) получить представление об основных проблемах и путях их решения, выработанных в индустрии.
Кроме того, иногда очень полезно знать, насколько хорошо ты действуешь в той или иной области. Дело в том, что в сфере информационной безопасности не может быть единых для всех и эффективных во все времена критериев оценки уровня защиты. Чем теснее связаны между собой информационные технологии и безопасность, тем очевиднее факт: актуальность знаний имеет не меньшее значение, чем их полнота.
С чего начинается ИБ?
Главные вопросы, на которые пытались ответить исследователи Deloitte & Touche: кто в организации отвечает за обеспечение информационной безопасности и существуют ли документы, регламентирующие данный процесс?
Согласно ответам респондентов, в более чем 82 % представляемых ими организаций структуры управления информационной безопасностью уже созданы — они определяют роль и ответственность, политики и процедуры, руководящие принципы и требования к отчетности. В 12 % же случаев подобные отделы должны быть сформированы в следующие два года. Лишь 6 % опрошенных не имеют структур управления ИБ и в ближайшее время не намереваются ими обзаводиться.
Другим важным показателем, который демонстрирует признание важности вопросов информационной безопасности со стороны высшего руководства, является наличие в штатном расписании должности директора по информационной безопасности (CISO, Chief Information Security Officer). Такая должность имеется в 65 % компаний, представленных респондентами. А всего год назад соответствующий управленец появился в 57 % опрошенных компаний. Более чем в 70 % организаций CISO работает на своем посту не более пяти лет — тенденция очевидна.
Однако ввести позицию CISO и поручить ему обеспечение информационной безопасности — это только часть решения. Необходимо наделить его соответствующими полномочиями и дать рычаги воздействия на правила работы в организации. Согласно данным опроса, наиболее типичными сферами ответственности данного директора являются стратегическое планирование в области информационной безопасности, создание необходимых политик, стандартов и процедур в этой сфере, а также их внедрение.
Еще один важный вопрос — кому подчиняется CISO? От этого зависит не только скорость принятия решений, но и реальный уровень его полномочий. В 56 % компаний начальник директора по информационной безопасности работает в ИТ-отделе. Лишь 25 % респондентов ответили, что в их организациях CISO рапортует непосредственно исполнительному директору (CEO) или совету директоров. Кроме того, частота подачи отчетов старшему руководству печально невелика: в 43 % организаций это происходит нерегулярно либо вообще не происходит.
Даже очень талантливый руководитель — один в поле не воин: 35 % респондентов опроса считают, что их компаниям не хватает компетентных специалистов в области информационной безопасности. Данная проблема решается по-разному: как наймом новых сотрудников (таким образом поступают 54 % респондентов), так и обучением уже существующих. Поэтому 25 % опрошенных уверены, что, несмотря на нехватку нужных знаний внутри их организаций, они развиваются в правильном направлении, чтобы устранить эти недостатки. Впрочем, 10 % не могут сказать подобное о своих компаниях. Еще 27 % прибегают к услугам аутсорсинга, причем наиболее охотно они делегируют сторонним фирмам функции управления уязвимостями.
О стратегиях, стандартах и контроле
Пилить гири и верить, что они золотые — это не оптимальный путь достижения результата, вне зависимости от тщательности исполнения и интенсивности процесса. Верная стратегия важна для успеха, и 74 % компаний, представленных респондентами, осознали это в полной мере. Причем 54 % уже выработали стратегию обеспечения информационной безопасности и еще 20 % намереваются сделать это в течение двух лет.
Если посмотреть на то, как обстоят дела с доверием к государственным стандартам в мире, то 49 % респондентов считают их довольно эффективными, еще 29 % уверяют, что они выше всяческих похвал, но при этом 22 % полагают, что стандарты не вполне адекватны стоящим перед ними задачам. Около 20 % участников опроса Deloitte & Touche сообщили, что их организации либо уже получили сертификат соответствия стандартам ISO/IEC 27001:2005 (BS 7799-2:2002), либо собираются сделать это в ближайшие двенадцать месяцев.
Невозможно эффективно работать, не имея ни малейшего представления о результатах своей деятельности. Поэтому удивляет тот факт, что большинство опрошенных организаций все еще не наладили систематический контроль над выполнением поставленных задач в сфере информационной безопасности. Первый шаг к установлению такого контроля — введение формальных показателей, позволяющих дать унифицированную оценку разным по своей сути проектам в области информационной без опасности. Только 19 % респондентов сообщили о том, что у них введена подобная система оценок. Еще в 24 % организаций уже инициирован процесс их выработки. Однако подавляющее большинство участников опроса (57 %) утверждают, что их компании мало или вообще не озабочены эффективностью своих проектов в данной сфере. Более того, 36 % опрошенных компаний не отслеживают успешность выполнения проектов в области информационной безопасности.
В этой статье мы только начали изучать тот комплекс проблем и существующий спектр их решений, о которых говорится в исследовании «Technology, Media & Telecommunications Security Survey». В продолжении материала, которое будет опубликовано в одном из ближайших номеров журнала, мы опишем многие из причин, порождающих проблемы с информационной безопасностью.
