Мер по безопасности все еще не хватает

БРАЙАН МАК-КАРТИ: БЕЗОПАСНОСТЬ

Брайан Мак-Карти    

В течение последних четырех лет по поручению ассоциации Computing Technology Industry Association (CompTIA) проводилось крупное исследование угроз информационной безопасности (ИБ) и методов противодействия им. Завершилось оно в текущем году и показало, что человеческие ошибки являются причиной почти 60% нарушений ИБ, имевших место в организациях за последние 12 мес. Данный показатель значительно выше, чем в прошлом году, когда по вине человека произошло 47% нарушений. Но несмотря на заметную роль, которую играет поведение человека, лишь 29% респондентов из 574 обследованных организаций сообщили, что в их компаниях в обязанности персонала ИТ-подразделений входит обучение сотрудников правилам соблюдения безопасности, и только в 36% организаций пользователей обучают необходимым навыкам.

Чтобы технические решения в области безопасности были действительно эффективными, они должны сопровождаться обучением персонала и информированием всех сотрудников о проблемах ИБ. Такие мероприятия должны проводиться постоянно во всех подразделениях - от серверной комнаты на первом этаже (где важное исправление, выпущенное в пятницу, почему-то не было установлено до наступления следующего понедельника) и до зала заседаний правления на верхнем этаже (где генеральный директор проигнорировал принятую политику, распаковал заархивированный файл и тем самым вызвал заражение сети своей компании новым вирусом).

Забавно, что отсутствие понимания стратегического значения просвещения и тренинга по вопросам безопасности чаще всего встречается на высших уровнях корпоративной иерархии. Нередко именно руководители являются наименее подготовленными людьми в вопросах ИБ и хуже всех ориентируются в соответствующих проблемах, с которыми сталкиваются их компании. В результате они часто недооценивают последствия нарушений системы безопасности для деятельности компаний.

Администраторы безопасности и те из менеджеров уровня директоров, которые лучше знакомы с повседневными эффектами таких проблем, часто не имеют аналитических инструментов, чтобы оценить последствия нарушений безопасности в денежном эквиваленте.

Проще всего повысить уровень знаний руководства путем придания проблемам ИБ количественного выражения и создания бизнес-сценариев для их решения. Один из подходов предусматривает демонстрацию в реальном денежном выражении того факта, что финансовый эффект от нарушений безопасности может быть очень велик.

Участников исследования CompTIA попросили выразить в деньгах результат последнего нарушения безопасности, а также последствия нарушений за предыдущий год. Средние величины составили более 11 тыс. долл. для последнего нарушения безопасности и немногим меньше 35 тыс. долл. для нарушений в течение минувшего года. Некоторые из опрошенных сообщили о потере более 50 тыс. долл. Таким образом, если в среднем нарушение безопасности может вызвать лишь немного больше, чем просто беспокойство, всегда существует вероятность значительных финансовых потерь.

Ознакомление с проблемами безопасности следует отличать от специальной подготовки и сертификации в области безопасности, которые организуются для сотрудников ИТ-подразделений и служб безопасности. Совершенно очевидно, что это важный компонент безопасности. Но в большинстве организаций он отсутствует. Лишь 36% из 574 обследованных организаций указали, что у них проводится такого рода обучение. 29% сообщили, что в их компаниях оно будет организовано в будущем, а 35% заявили, что не имеют таких планов.

Между тем 84% из тех фирм, где проводится обучение в области безопасности, сообщили, что его внедрение привело к уменьшению числа серьезных нарушений. Как правило, это происходит в результате лучшего понимания проблем, что позволяет персоналу точнее выявлять риски безопасности, способствует общему повышению качества предпринимаемых для обеспечения безопасности мер и сокращению времени реакции сотрудников на возникающие проблемы.

Нехватка времени и средств на обучение соблюдению правил безопасности может заставить конечных пользователей предположить, что в их организациях этому не придается должного значения. Для преодоления такого положения необходимо добиться лучшего понимания на высших уровнях корпоративной иерархии реальных преимуществ, которые дает обучение, и рисков, возникающих при его отсутствии.

Чтобы действительно эффективно предотвращать и устранять угрозы в области ИБ, организации должны распространять информацию и знания не только в узком кругу сотрудников ИТ-службы, но и среди других работников. Лица, принимающие решения, должны быть лучше информированы о реальных потерях, вызываемых нарушениями системы безопасности, и о реальной отдаче средств, вкладываемых в обучение персонала и его сертификацию в области безопасности. Даже лучшая в мире технология безопасности не будет работать без квалифицированного участия людей, при отсутствии у них необходимых навыков и без понимания менеджерами того, как эта технология должна развертываться и применяться.

     Брайан Мак-Карти является руководителем оперативной службы ассоциации Computing Technology Industry Association (www.comptia.org).