В рубрику "Исследование" | К списку рубрик | К списку авторов | К списку публикаций
Алексей Чередниченко
ведущий консультант Symantec в России и СНГ
Любая деятельность подвержена тем или иным рискам, и использование информационных технологий не является исключением. Грамотное управление основными бизнес-рисками и возможность сокращения избыточных расходов зависит от эффективности тех или иных методов, принятых в организации, а их отсутствие ведет к повышенным затратам, финансовой незащищенности и репутационным потерям.
По аналогии с нестрахуемым минимумом все организации хотят гарантированно выдерживать некоторый уровень финансовых потерь в результате кражи или утраты информации о клиентах или в результате простоев из-за неполадок в ИТ-системах. Однако на фоне финансовой незащищенности фактические потери организаций оказываются гораздо выше, чем те потери, которые они готовы выдерживать. Но в результате ряда усовершенствований методов управления бизнес-рисками можно добиться заметных положительных результатов.
Исследования, проведенные организацией IT Policy Compliance Group (IT PCG) , показывают, что почти у всех организаций есть финансовые стимулы к проведению ряда мероприятий с целью снижения финансовых рисков от утраты данных, простоев и аудиторских проверок. В настоящем отчете содержатся итоги текущих и недавних исследований IT PCG, включая выводы, касающиеся основных экономических и операционных показателей организаций; финансовых рисков, потерь и финансовых результатов; мер, принятие которых оказывает наибольшее влияние на снижение затрат и улучшение показателей.
Экономические и финансовые риски от использования ИТ непосредственно связаны с тем, насколько эффективно организации обеспечивают конфиденциальность, целостность и доступность информации и ИТ-ресурсов. А это, в свою очередь, непосредственно зависит от мер и процедур контроля, применяемых с целью защиты и поддержания целостности конфиденциальной информации, прохождения аудиторских проверок, а также от имеющихся в наличии ИТ-сервисов.
Основные экономические и финансовые риски организации зависят от следующих показателей:
В ходе исследования IT PCG измерялись три основных показателя:
Наихудшие результаты. Примерно две из каждых 10 организаций (19%) показали наихудшие результаты: самое большое количество инцидентов, связанных с утратой или утечками данных, самые длительные простои от неполадок в ИТ-системах и самые большие проблемы с соблюдением нормативных требований. В этих компаниях ежегодно происходит свыше 15 инцидентов, связанных с утратой или кражей данных, устраняется свыше 15 недостатков в информационных системах, чтобы пройти аудит, а результатом неполадок в ИТ-си-стемах становятся простои длительностью 80 и более часов.
Нормативные результаты. Почти семь из каждых 10 организаций (68%) укладываются в диапазон от 3 до 15 случаев утраты данных, от 7 до 79 часов простоя и от 3 до 15 требующих устранения недостатков в ИТ-системах в год.
Наилучшие результаты. Одна из каждых 10 организаций (13%) стабильно получает лучшие результаты: менее трех случаев утраты конфиденциальной информации, менее шести часов простоя и менее трех подлежащих устранению недостатков в год.
Финансовые результаты организаций напрямую связаны с показателями их ИТ-служб. Организации с наихудшими ИТ-показателями демонстрируют и самый высокий уровень финансовой незащищенности и потерь (рис. 1).
Эффективность и грамотность мер, принимаемых ИТ-службами организаций, влияет как на объемы финансовых потерь, так и на их частоту. Например, в организациях, демонстрирующих наиболее эффективные методы управления бизнес-рисками от использования ИТ, утечки конфиденциальных данных происходят раз в десятилетия и приносят меньшие убытки. Между тем фирмы с наихудшей практикой испытывают более тяжелые финансовые последствия от частых потерь информации о клиентах.
В целом среднегодовое число инцидентов, связанных с утратой или кражей данных, а также частота и степень нарушений бизнес-процессов в результате отказов и неполадок в ИТ-системах организаций остается довольно высоким (см. таблицу).
В зависимости от размера организации и текущего уровня безопасности экономия от сокращения потерь в результате совершенствования методов управления бизнес-рисками лежит в диапазоне от 100 до 1000% и более в год. С учетом этого у большинства организаций есть твердые экономические основания для совершенствования методов управления рисками (рис. 2).
Большинство организаций тратят неоправданно много средств на ежегодные аудиторские проверки. Затраты семи из каждых 10 организаций - на 66% выше, чем затраты компаний с наихудшими показателями, и на 100% превышают затраты организаций с наилучшими показателями. Последние ежегодно на подготовку и прохождение аудиторских проверок расходуют на 35-52% меньше средств.
Все организации независимо от размера и вида деятельности имеют равные возможности для снижения рисков, сокращения затрат и улучшения своих финансовых результатов. С точки зрения защиты данных своих клиентов фирмы из более регулируемых отраслей не имеют скрытых преимуществ перед организациями из отраслей, менее подверженных государственному регулированию. У крупных предприятий нет преимуществ перед малыми, когда речь идет о поддержании бесперебойного функционирования ИТ-служб.
Главным фактором, влияющим на производственные показатели, финансовые риски и перерасход средств, является эффективность методов управления рисками и контроля затрат. Организации с наихудшими результатами и наибольшими потерями от использования ИТ на самом деле тратят на информационную безопасность столько же, сколько фирмы, подверженные наименьшим рискам и демонстрирующие наилучшие результаты. Разница - в методах управления рисками и уровне затрат на прохождение аудиторских проверок.
Основные причины проблем, возникающих при подготовке и проведении аудита, непосредственно связаны с методами обеспечения информационной безопасности и практик внутреннего контроля, причем:
Хотя утечки персональных данных клиентов приводят к нежелательному вниманию прессы, а длительные простои могут временно нарушить работу организации, основное внимание необходимо сосредоточить на совершенствовании повседневного, текущего управления информационной безопасностью и практик внутреннего контроля. Недостаточно просто выделить бюджет на информационную безопасность и аудит, нужно еще провести ряд мероприятий по снижению рисков, сокращению расходов и улучшению финансовых результатов.
Вместо того чтобы увеличивать расходы на информационную безопасность, организациям, подверженным наибольшим финансовым рискам и демонстрирующим наихудшие ИТ-показатели, следует переориентировать свои расходы на строго выборочные мероприятия, которые в конечном счете принесут более высокие результаты.
Кроме того, многим организациям следует подумать об отказе от методов, которые не работают и не приносят желаемого результата, о внедрении проверенных на практике решений и организационных мер и постепенном снижении финансовых рисков и расходов на аудит. Процент возврата от поэтапного наращивания расходов на информационную безопасность достаточно высок, но в любом случае затраты должны быть сосредоточены только на тех направлениях, где они приводят к наилучшим результатам.
Как было сказано выше, организации, демонстрирующие наихудшие результаты аудиторских проверок, а также наиболее частые инциденты, связанные с утечками данных и простоями в работе, тратят на информационную безопасность примерно столько же, сколько организации, демонстрирующие наилучшие результаты. Большинство же организаций, напротив, расходует вдвое меньше. В итоге "худшие" тратят деньги на информационную безопасность и аудит, не достигая нужного результата, большинство организаций выделяет недостаточно средств на необходимые меры, а "лучшие" сочетают расходы на ИБ с рядом эффективных мер, которые приносят реальный результат. Управление бюджетом на ИБ и аудит с учетом имеющихся рисков определяет общие цели и задачи для достижения лучших результатов.
На основе результатов, которых достигли компании, демонстрирующие наименьшие финансовые потери и самые низкие расходы на аудит, составлены следующие рекомендации:
Кроме того, рекомендуется для информирования всех сотрудников регулярно готовить небольшие отчеты по бизнес-рискам от использования ИТ, в числе которых:
Снижение финансовых рисков и потерь, так же как и сокращение расходов на прохождение аудиторских проверок, зависит от того, принимаются ли соответствующие организационные меры и адекватные действия.
В текущей обстановке многие организации уже сократили свои расходы: задача в том, чтобы достичь большего меньшими средствами. Выделение средств на автоматизацию систем контроля, проведение регулярного мониторинга и оценок информационных систем с учетом бизнес-рисков от использования ИТ - вот основные факторы успеха.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2009