Исследование защиты корпоративной конфиденциальной информации
Компания RSA, входящая в состав корпорации EMC, и корпорация Microsoft объявили результаты глобального исследования «Ценность корпоративных секретов: как соответствие правовым требованиям и совместная работа персонала влияют на уязвимость компаний», проведенного компанией Forrester Consulting по заказу этих компаний. В опросе приняли участие руководители информационных отделов из 305 компаний по всему миру. Выяснилось, что организации тратят большие средства на обеспечение соответствия правовым требованиям и защиту от случайных утечек конфиденциальной информации (такой как информация о клиентах), но в то же время недостаточно защищают от утечки гораздо более ценные секретные корпоративные данные.
Опрос показал, что затраты на обеспечение безопасности не соразмерны ценности защищаемой информации. Согласно данным Forrester Consulting, около 90% компаний, принявших участие в исследовании, согласились, что главная цель их программ безопасности — обеспечить соответствие требованиям PCI-DSS, законам о конфиденциальности информации и ее неправомерном раскрытии, а также политикам обеспечения безопасности данных. Значительная доля (39%) бюджета компаний расходуется на поддержку программ обеспечения безопасности данных в соответствии с правовыми требованиями. Но секретные данные составляют 62% от всего объема информации, тогда как конфиденциальные данные, хранение которых должно соответствовать правовым требованиям, — всего 38%. Таким образом, инвестиции во вторую категорию данных явно завышены. Компаниям следовало бы уделять больше внимания защите своей интеллектуальной собственности и информации, которая имеет для них первостепенное значение, поскольку утрата интеллектуальной собственности может привести к долговременной потере конкурентных преимуществ компании.
Исследование показало, что в то время как организации уделяют основное внимание защите от случайной утери информации, кража данных сотрудниками или доверенными внешними лицами обходится им гораздо дороже. Например, основываясь на ответах, полученных в ходе исследования, можно утверждать, что кража сотрудниками конфиденциальной информации в 10 раз дороже, чем ее случайная утеря в результате инцидентов: сотни тысяч долларов по сравнению с десятками тысяч.
Несмотря на разный объем затрат на безопасность, количество инцидентов и взгляды на ценность информации среди респондентов, почти все опрошенные компании считают, что их средства безопасности достаточно эффективны. Как утверждает в своем отчете Forrester Consulting, большинство компаний на самом деле не знают, насколько эффективны их программы по безопасности, определяя степень их действенности только по примерному подсчету количества инцидентов. Из-за необходимости выполнять правовые требования директора по безопасности стараются приобрести больше защитных средств. Но это меняет традиционную цель обеспечения информационной безопасности, которая заключается в защите конфиденциальных данных компании.
О итогам исследования Microsoft и RSA предложили ряд рекомендаций, которые помогут организациям сбалансировать программы по обеспечению безопасности. Среди этих рекомендаций следующие.
- Определите самые ценные информационные активы организации.
- Создайте список рисков, где будут описаны возможные сценарии угроз.
- Оцените степень прилагаемых вами усилий по обеспечению соответствия правовым требованиям и по защите корпоративной конфиденциальной информации и постарайтесь установить между ними баланс.
- Будьте более бдительны в отношениях с другими компаниями и внешними источниками.
- Измерьте эффективность программы по защите данных.