Сигурност

Оптимизирайте разпределението на бюджета за ИТ сигурност

CIO Media

В компаниите се прилага широк спектър от контроли за защита на поверителните данни, но на практика мениджърите ангажирани с въпросите на ИТ сигурността не знаят доколко ефективни са те

Решенията за инвестиции в средства за ИТ сигурност се вземат без да се отчита ценността на защитаваната информация. Това е основният извод от актуално проучване, проведено съвместно от Forrester Consulting, Microsoft и RSA (подразделението по сигурност на EMC)  сред 305 ИТ директори и мениджъри на компании.

Дисбалансът
Над 90% от анкетираните ръководители на предприятия заявяват, че в най-голяма степен усилията им във връзка със защитата на данните са насочени към спазването на стандарта PCI DSS (Payment Card Industry Data Security Standard), законите за неприкосновеност на личната информация и следване на корпоративната политика за ИТ сигурност.  
Корпорациите харчат по около 40% от бюджета за ИТ сигурност за средства, които са им необходими във връзка с осигуряване на съвместимост с изисквания на нормативната база  и също около 40% за защита на секретна (ценна) информация. При това секретната информация е средно 62% от цялото информационно портфолио. Анализаторите изтъкват, че е налице очевиден дисбаланс - разходите за съвместимост за преоразмерени, докато тези  за защита на действително ценната корпоративна информация са подценени.
"Компаниите харчат пари предимно за защита на клиентски данни и финансова информация, докато основният акцент трябва да бъде върху защитата на интелектуалната собственост и данните, които са ценни за самата компания", коментира Сам Къри (Sam Curry), технически директор на RSA.


Препоръки
На базата на резултатите от проучването специалистите на Forrester, Microsoft и RSA са подготвили списък от препоръки за предприятията, които се стремят да повишат нивото на своята информационна сигурност. Основните стъпки набелязани в него са:
1. Определете най-ценните информационни активи в компанията. За целта, бизнес ръководителите в организацията следва да дадат груба оценка в парично изражение за различните типове поддържани данни. Фиксирайте петте най-ценни актива според тези оценки. За ориентация можете да използвате таблица 1.
2. Създайте регистър на рисковете. Разпределете рисковете които съществуват за вашата организация в две групи: свързани със съвместимостта изисквана от нормативната база и злоупотреби с ценна корпоративна информация.  
3. Оценете доколко вашата програма за ИТ сигурност осигурява балансирана защита срещу рисковете от двете групи и ако е необходимо ревизирайте приотитетните направления за инвестиции в ИТ сигурността.   
4. Измервайте ефективността на вашата програма за сигурност. Мениджърите ангажирани със защитата на информацията трябва да разчитат на факти, а не на интуитивна увереност. Разработете процес за проследяване на ключови индикатори от типа на честота и цена на инцидентите. Сравнявайте констатираните показатели с тези на фирми сходни на вашата, като ползвате дании от различни проучвания или от публични източници от типа на DataLossDB.

*Резултатите от представеното проучване са базирани на отговорите на представители на 305 организации - 163 от тях са базирани в US, 102 в Европа, 40 в Австралия и Нова Зеландия.
Анкетираните са мениджъри, отговорни за бюджета за ИТ сигурност в своите компании.

Източници:

Forrester Consulting, Microsoft, RSA - The Value Of Corporate Secrets: How Compliance And Collaboration Affect Enterprise Perceptions Of Risk, March 2010

X