Red Hat: безопасность — основной приоритет ИТ-финансирования

ИТ-руководители начали рассматривать вопросы безопасности как приоритетное направление финансирования ИТ, о чем свидетельствуют данные новых исследований. Технологический евангелист Red Hat Гордон Хафф анализирует на портале Enterprisers Project изменившуюся ситуацию, поскольку исторически безопасности ИТ часто не уделяли должного внимания.

Цифровая трансформация ускорилась, но, похоже, финансирование связанных с ней культурных изменений не является приоритетом для ИТ-руководителей. Этот вывод напрашивается из исследования «Global Tech Outlook 2021», проведенного компанией Red Hat в июле-сентябре 2020 г. с участием 1470 ИТ-специалистов, в основном из компаний с годовым доходом более 100 млн. долл., как из числа клиентов Red Hat, так и более широкого круга отраслевых экспертов.

Выглядят ли такие приоритеты финансирования, не связанные с ИТ, логичными? По большей части, да. Несмотря на то, что культурные изменения рассматриваются как низкоприоритетная задача, к основным приоритетам финансирования, не связанным с ИТ, опрошенные отнесли обучение техническим, мягким и процессным навыкам, а также наем и удержание ИТ-специалистов/разработчиков, но все это ограничивается финансированием в рамках стратегии цифровой трансформации. Даже если важное, но трудноразрешимое изменение культуры не является главным приоритетом бюджета, то другие его статьи, связанные с людьми, являются таковыми. Так что несмотря на опасение, что ИТ-лидеры чрезмерно сосредоточены на осязаемом и конкретном, они все же в целом действительно отдают приоритет людям.

Если посмотреть на приоритеты в разрезе прямого финансирования ИТ, то примечательно, что на первом месте в списке стоит безопасность ИТ, при этом 45% респондентов утверждают, что это их главный приоритет. Безопасность исторически часто недофинансировалась и недооценивалась, но уже появилось немало свидетельств того, что может произойти сдвиг в этом направлении.

Что касается результатов, которые ИТ-лидеры ожидают от своих приоритетов финансирования, то 37% рассчитывают на повышение эффективности, тогда как 32% ожидают улучшения безопасности. Вероятно, существует обоснованное предположение, что часть расходов на безопасность будет использоваться эффективнее для предотвращения ухудшения ситуации при явной угрозе. ИТ-руководители также признают, что безопасность и соответствие нормативным требованиям — главные барьеры на пути к успеху цифровой трансформации (хотя она сильно сдерживается проблемами интеграции).

Безопасность — это широкое понятие. Ответы на отдельные вопросы проясняют детали. Например, многие организации в качестве причины применения части приложений онпремис назвали конфиденциальность и безопасность данных (по 39%). Они заняли первое место в списке. Стоит отметить, что работа приложений онпремис не всегда более безопасна — крупные провайдеры публичного облака обладают большим опытом и вкладывают большие средства в обеспечение безопасности своих дата-центров и используемого в них ПО. Тем не менее, многие ИТ-лидеры предпочитают иметь определенный уровень контроля и видимости при выполнении особо важных рабочих нагрузок внутри организации.

42% ИТ-руководителей, которые ставят вопрос финансирования безопасности выше других задач, на первое место поставили сетевую безопасность, за которой следуют безопасность облачных вычислений и защита/приватность/суверенитет данных. Кроме того, 30% респондентов одним из главных приоритетов назвали «обнаружение угроз и реагирование на них».

Значение безопасности подчеркивается и в исследовании Red Hat «State of Enterprise Open Source-2021» на базе опроса 1250 ИТ-руководителей со всего мира, где она наряду с такими тесно связанными атрибутами, как «более качественное ПО» и «способность безопасно использовать Open Source-технологии» признается одним из главных преимуществ Open Source для предприятий. В частности, 87% респондентов рассматривают корпоративное ПО с открытым кодом как «более безопасное» или «настолько же безопасное», как проприетарное, а 84% указали, что корпоративное ПО с открытым кодом «является ключевой частью стратегии безопасности моей организации».

О чем нам говорят все эти данные? Нужно привести несколько общих соображений. Финансирование безопасности стало более приоритетным, чем раньше, но по крайней мере часть этого финансирования направлена на то, чтобы просто не отставать. Тем не менее, повышение осведомленности в таких вопросах, как безопасность цепочки поставок ПО — понимание природы уязвимостей, связанных с зависимостями, такими как библиотеки, — представляет собой значительный шаг на пути к их устранению.

Значимость автоматизации операций можно оценить как среднюю, но, по сути, ее приоритет выше, чем у разработки приложений. Это важно, потому что автоматизация, которая стартует на самых ранних стадиях конвейера разработки (это часто описывается принципом «Shift Left»), является необходимой для разработки безопасного ПО. Это относится не только к автоматизации инструментов безопасности, таких как сканеры, но и к автоматизации конфигураций и тестов, чтобы отсутствие согласованности не приводило к уязвимостям.

Наконец, мы наблюдаем значительные изменения в том, как ИТ-лидеры относятся к корпоративному Open Source с точки зрения безопасности. Еще не так давно многие из них не доверяли безопасности открытого кода, обосновывая это тем, что его могут видеть злоумышленники. Они считали, что вам не следует публиковать подробные спецификации, скажем, своей сигнализации, даже если вы считаете ее надежной.

Но на самом деле эта аналогия не экстраполируется на ПО, поскольку многие успешные атаки являются результатом слепого поиска уязвимых мест. Открытость кода не всегда является очевидным преимуществом (иногда его действительно анализирует совсем немного людей, заинтересованных в этом), однако ясно другое — сегодня многие руководители считают корпоративный Open Source по крайней мере таким же безопасным, как и его проприетарные аналоги.