АНАЛИЗ
Весьма часто, знакомясь с результатами очередного исследования рынка высоких технологий, трудно не задать вопрос: а зачем, собственно, оно проводилось? Исследования, вызывающие такие вопросы, ориентированы не на диагностику будущего и выявление его симптомов, а на утверждение очевидной доминирующей тенденции - другими словами, отражают ожидания потребителей и носят консервативный характер.
Руководители корпораций тоже люди, и они готовы платить большие деньги за то, чтобы найти в результатах изысканий подтверждение своему ощущению рынка. Где-то здесь и сто’ит, вероятно, искать ответ на вопрос “зачем?”.
Возможно, самый разогретый фокус подобного рода консервативных настроений - проблема информационной безопасности, изучение которой предприняла недавно фирма Ernst &Young (www.ey.com/cis). Этот крупнейший консультант по вопросам ведения бизнеса после проведенного им исследования пришел к выводу, что с увеличением масштабов обмена информацией финансовые и репутационные риски будут возрастать, а экономическая нестабильность создаст еще и новые риски неизвестной природы, которые необходимо будет определить и научиться контролировать.
Результаты
Ответы респондентов, участвовавших в этом опросе, свидетельствуют о недостатках в организации управления безопасностью жизненно важных корпоративных ИС и данных. В ходе исследования выявились два момента: во-первых, вопросы информационной безопасности приобрели большое значение для многих компаний во всем мире, а во-вторых, используемые ими методы управления рисками непоследовательны и часто недостаточны.
Результаты международного исследования Ernst &Young показали, что 60% из 459 опрошенных руководителей отделов ИТ и высших должностных лиц считают, что с развитием процессов обмена информацией их ожидает рост уязвимости. Со сбоями в работе жизненно важных систем сталкивалось 75% респондентов. Отсутствие планов восстановления деятельности компании после таких сбоев может привести к огромным расхождениям между реальными сроками возобновления работы и ожиданиями партнеров, но только 53% компаний заранее продумывают план своих действий в чрезвычайных ситуациях.
Работа по защите информации преимущественно ведется в области управления межсетевыми экранами и антивирусной защиты. В 40% организаций случаи нарушения безопасности не расследуются, несмотря на регулярные предупреждения о том, что такие нарушения чреваты появлением “запасных входов” в ИС, которыми злоумышленники не преминут воспользоваться.
Исследование также показало, что обеспечение информационной безопасности по-прежнему рассматривается как технический вопрос, за который должен отвечать исключительно отдел ИТ. Но корпоративная стратегия информационной безопасности не может ограничиваться техническими решениями: она должна всесторонне учитывать специфику бизнес-рисков и культуру работы.
Сомнения
Если отвлечься от конкретики чисел, то исследование авторитетной компании не открыло ничего качественно нового. Более того, если присмотреться к его методике и целям, то станет понятно, что этого и не стоило ожидать.
Возникает вопрос: для чего публиковались результаты, не сообщающие ничего сверх того, что известно? Какие тенденции отражает обнародование предсказуемого результата? Только одну: безопасность востребована. Именно востребованность защиты и заставляет диагностировать ситуацию как недооцененную в смысле угроз.
Нарастающая в течение довольно долгого времени тенденция к смещению акцентов с проблем бизнеса на проблемы его защиты и к смене в связи с этим статуса технических задач на стратегические, а также к включению проблем безопасности в сферу ответственности высшего руководства любой компании - эта тенденция приобрела новую динамику и масштаб после 11 сентября и теперь определяет черты мира в целом.
Изменившаяся ситуация вызывает раздражение людей, далеких от практики защиты, в частности, в университетской среде США и Европы и общественных организациях, где говорят о паранойе и вспоминают о мыльном пузыре апокалипсиса-2000, хорошо подогревшем ИТ-корпорации. Американская организация “Граждане за здоровую экономику” считает нагнетание тревоги циничной манипуляцией над потребителем, предпринятой с целью стимулировать спрос на определенные продукты и неадекватно увеличить расходы на ИТ.
Опасность всюду
Однако было бы ошибкой думать, что тревожные настроения продавливаются производителями средств безопасности. Мнение, что масс-медиа способны радикально изменить потребительские настроения, довольно распространено, что не делает его верным. Случаи, когда за подобные заблуждения приходилось много платить, описаны в учебниках маркетинга. Известен, например, далекий от ИТ, но весьма показательный случай сговора производителей с целью удлинить юбки. В самых популярных мировых газетах публиковались снимки девушек с улиц Рима, Парижа, Лондона, Нью-Йорка. Разумеется, фотографировали одетых нужным образом моделей, но ведь идея была - убедить весь мир в том, что он теперь одевается именно так, а не иначе. Телевидение, массированная реклама, авторитеты вовсю обрабатывали потребителей. Совокупные затраты наэту беспрецедентную и бесполезную медиа-атаку составили сотни миллионов долларов. И все-таки производителям не удалось переломить массовые настроения, хотя медийное давление было гораздо более последовательным и мощным, чем нынешние публикации в специальных изданиях для профессионалов по безопасности, и нацеленным на молодых некритичных потребителей, а не на серьезных специалистов.
Этот пример свидетельствует о том, что средства массовой информации и другие медийные инструменты, к которым относится, в частности, авторитетный отчет Ernst &Young, не могут, вопреки распространенному представлению, создать новый тренд. СМИ лишь выражают настроения, существующие за редакционными стенами общественно-политических и профессиональных изданий, почти не влияя на них; они всегда следуют в русле уже сложившегося тренда. (Отмечу, что с этой точкой зрения на роль СМИ категорически не согласен главный редактор PC Week/RE.)
Администраторы безопасности лелеют профессиональный миф о начальниках, которым трудно воспринять насущную необходимость в средствах информационной защиты. Исследование Ernst &Young дает этим администраторам новые аргументы (а точнее, освежает старые) для отстаивания своей позиции в споре с такими начальниками. Ирония же заключается в том, что исследование показывает: сегодня уже не нужно никого ни в чем убеждать.
