Результаты исследования, проведенного компанией Ernst&Young, показывают, что организации по всему миру не предпринимают необходимых мер, чтобы защитить себя от нарастающих угроз в области информационной безопасности.
Результаты исследования аудиторской и консультационной компании Ernst&Young в области информационной безопасности за 2004 год показали, что, несмотря на хорошую осведомленность руководителей компаний о рисках, которым подвергается информационная безопасность со стороны сотрудников их организаций, они не предпринимают адекватных мер. Более 70% из 1233 организаций, представляющих ведущие компании из 51 страны мира, не включили обучение и повышение осведомленности сотрудников по вопросам информационной безопасности в списки своих приоритетных задач.
По мере того, как организации развиваются в направлении все более децентрализованных бизнес-моделей, делегируя некоторые функции внешним подрядчикам, им становится все труднее контролировать безопасность своей информации, а руководителям все труднее оценивать уровень риска, которому они подвергаются. «Компании могут делегировать выполнение работы, но они не могут делегировать ответственность за безопасность», — говорит Эдвин Беннет (Edwin Bennett), директор международной практики Ernst&Young в области информационных технологий и компьютерной безопасности, — Менее одной трети из этих компаний проводят регулярную оценку работы своих поставщиков ИТ-услуг с целью контроля соблюдения ими политики по информационной безопасности — они полагаются исключительно на доверие. Организации должны требовать большей степени обеспечения безопасности от своих партнеров по бизнесу".
«В России и странах СНГ редки случаи делегирования функций обеспечения информационной безопасности внешним подрядчикам из-за отсутствия доверия к ним», — заявила Мишель Мур (Michele Moor), партнер Ernst&Young, руководитель отдела услуг в области информационных технологий и компьютерной безопасности в России и СНГ,- Однако компании в России и странах СНГ сталкиваются с такими же проблемами в области безопасности — недостаточным вниманием со стороны высшего руководства, нерегулярным проведением оценки рисков и недостатком либо полным отсутствием инвестиций в работу по снижению рисков, связанных с человеческим фактором".
Организации по-прежнему уделяют основное внимание таким внешним угрозам, как вирусы, в то время как серьезность внутренних угроз постоянно недооценивается. Компании охотно идут на закупки технологических средств, в частности, межсетевых экранов и антивирусной защиты, но не готовы относить кадровые проблемы к разряду приоритетных.
«Хотя общественное внимание по-прежнему сосредоточено на внешних угрозах, — говорит Эдвин Беннет, — гораздо больший ущерб может быть нанесен компаниям некорректным поведением сотрудников, их оплошностями, упущениями или подходом к работе, нарушающим существующие стандарты». Так как многие происшествия с участием сотрудников остаются невыявленными, организации часто и не подозревают о недобросовестной работе персонала. Слишком многие организации считают, что обеспечение информационной безопасности не имеет смысла, если отсутствует видимая угроза. Такая точка зрения остается неизменной последние десять лет, в течение которых Ernst&Young проводит это исследование".
Компаниям следует уделять больше внимания поощрению внимательного отношения к вопросам безопасности, что подразумевает задание правильного общего настроя руководством. По мнению г-на Беннета, это жизненно важно для изменения подхода организаций к обеспечению информационной безопасности. «Компании могут изменить свой взгляд на информационную безопасность и относиться к ней как к одному из способов повышения конкурентоспособности и сохранения стоимостного потенциала компании, а не просто считать ее одной из статей расходов на ведение бизнеса, — сказал он. — Однако тон для таких изменений должен задаваться заметными сдвигами в отношении руководства компании и совета директоров к этой проблеме. В настоящее время только 20 процентов организаций рассматривают информационную безопасность как одну из приоритетных задач руководства. Можно и нужно предпринимать дополнительные усилия для качественного изменения навыков и отношения сотрудников, которые часто являются основной причиной уязвимости компаний, чтобы превратить их в самый мощный оборонительный рубеж компании».