Уровни ИТ-безопасности организаций – исследование RSA
Компания RSA, подразделение безопасности корпорации EMC, опубликовала некоторые результаты исследования Cybersecurity Poverty Index. В их числе – недостаточно высокий уровень развития систем ИТ-безопасности и чрезмерный фокус компаний на модели предотвращения угроз.
В ходе исследования было опрошено более 400 специалистов по ИТ-безопасности из 61 страны, респонденты самостоятельно оценивали зрелость систем ИТ-безопасности своих организаций, сравнивая ее с набором стандартов NIST Cybersecurity Framework (CSF). CSF предоставляет рекомендации по снижению ИТ-рисков, которые базируются на существующих стандартах, инструкциях и практиках, эти рекомендации – результат совместной работы представителей отрасли и государственных органов.
Обычно считается, что крупные организации располагают ресурсами для создания более надежной системы киберзащиты, но результаты исследования показывают, что размер организации не коррелирует с уровнем организации системы ИТ-безопасности: почти 75% всех респондентов оценили свой уровень безопасности как недостаточный. Многие организации сообщили о том, что в течение последних 12 месяцев сталкивались с инцидентами, приведшими к потере данных или нарушению работы.
Исследование показало, что самые высокие уровни развития ИТ-систем наблюдаются в области «Защита». Основная стратегия обеспечения ИТ-безопасности для организаций связана с превентивными решениями, несмотря на понимание того, что одних превентивных мер недостаточно для защиты от сложных современных атак. Кроме того, самым слабым местом организаций, участвовавших в опросе, оказалась способность измерять и оценивать риски ИТ-безопасности и смягчать их последствия: 45% респондентов говорят о недостатке собственных возможностей в этой сфере и только 21% считает, что имеют системный подход к обеспечению безопасности. Такое положение усложняет приоритизацию при выборе решений безопасности.
Вопреки ожиданиям, исследование показало, что уровень развития системы безопасности не связан напрямую с размером организации. Выяснилось, что 83% опрошенных организаций со штатом более 10 тыс. сотрудников оценили свои возможности ниже уровня «Развитые». Понимание невысокого уровня развития ИТ-систем должно стимулировать переход от стратегий реагирования на уже существующие угрозы к стратегиям создания более надежной и зрелой системы безопасности в целом.
Неожиданными оказались и результаты для организаций сектора финансовых услуг, который часто лидирует по уровню организации ИТ-систем. Тем не менее опрошенные финансовые организации не продемонстрировали высокого уровня организации, всего треть из них оказались достаточно подготовленными к обеспечению безопасности. Телекоммуникационные компании сообщили о самом высоком уровне ИТ-развития: 50% респондентов имеют «Развитые» или «Выдающиеся» возможности, в то время как у государственных учреждений самая низкая оценка по отраслям в данном случае: только 18% респондентов соответствуют уровню «Развитые» или «Выдающиеся».
Хотя стандарт CSF первоначально был разработан в США, результаты исследования показывают, что по уровню развития этих систем Северная и Южная Америка уступают регионам АТР (включая Японию) и EMEA. Среди организаций в регионе АТР 39% оценивают свои возможности в целом как «Развитые» или «Выдающиеся», в то время как в регионе EMEA такую оценку им дали 26% организаций, а в Северной и Южной Америке – только 24%.