Об этом свидетельствуют результаты последнего опроса EY, в котором приняли участие более чем 1 900 представителей высшего руководства компаний, осуществляющих деятельность в различных странах.
93% компаний сохраняют или наращивают значительный объем инвестиций в средства безопасности, при этом 83% не удовлетворены работой внутренних служб. Кроме того, несмотря на серьезные вложения, организации все чаще сталкиваются с пробелами в системах безопасности, и сегодня вопрос уже не в том, попадет ли очередная компания под прицел хакеров или нет, а в том — когда это произойдет.
31% респондентов сообщили, что за последние 12 месяцев количество нарушений информационной безопасности выросло как минимум на 5%. Многие уже осознали масштаб и глубину новой угрозы, которая нависла над ними, и сегодня вопросы информационной безопасности находятся под личным контролем руководства в 70% организациях.
«Результаты исследования этого года свидетельствуют о том, что бизнес движется в правильном направлении, но ему предстоит еще многое сделать, причем незамедлительно. Вопросы безопасности все чаще попадают в центр внимания топ-менеджмента, и это обнадеживает. Если в ходе прошлогоднего опроса не было выявлено ни одной компании, в которой служба информационной безопасности докладывала бы о своей работе высшему руководству, то в 2013 году число таких организаций составило 35%», — прокомментировал руководитель международного центра EY по управлению ИТ-рисками Пол ван Кессел.
«Хакерские атаки представляют сегодня главную угрозу выживанию компаний, — отметил руководитель международного центра EY по информационной безопасности Кен Аллан. — Несмотря на то что бюджеты на модернизацию систем безопасности постепенно увеличиваются, позволяя направлять больше средств на инновационные решения, призванные защитить бизнес от неизвестности в будущем, многие службы информационной безопасности по-прежнему отмечают недостаток денежных ресурсов для предупреждения хакерских атак».
65% респондентов назвали дефицит бюджета основной проблемой, которая не позволяет службам информационной безопасности работать в соответствии с ожиданиями бизнеса (а среди компаний с выручкой до 10 млн долларов США в год их число составило 71%), при этом половина опрошенных заявила о намерении увеличить в течение следующих 12 месяцев расходы на информационную безопасность на 5% или более.
В целом, 14% от общего объема расходов, запланированных компаниями на следующие 12 месяцев, будет направлено на модернизацию систем безопасности и внедрение современных технологий. С учетом того, что новые технологии становятся неотъемлемой частью бизнеса, трансформируя его структуру и методы работы, все большую значимость приобретает вопрос использования сотрудниками мобильных и других устройств в офисе и вне его. Этот вопрос особенно актуален в контексте растущей популярности социальных сетей, которые, по словам респондентов, по-прежнему представляют собой источник беспокойства в сфере обеспечения информационной безопасности.
«Организациям необходимо стать более дальновидными, — отметил Кен Аллан. — Если компания сосредоточила все усилия на предотвращение текущих проблем, связанных с развитием технологий, что она будет делать, когда столкнется с технологиями, которые либо уже поджидают ее „за углом“, либо вот-вот появятся на горизонте? Если за эти четыре года распространения в рабочей среде мобильного интернета компания так и не придумала эффективных мер реагирования, как она будет защищать свою информацию и управлять ее безопасностью, когда широкое распространение получат, например, технологии, позволяющие хранить информацию на удаленных серверах».
Несмотря на правильно обозначенные приоритеты в политике информационной безопасности многие службы не справляются с поставленными задачами в связи с нехваткой квалифицированных специалистов или поддержки со стороны высшего руководства, которое зачастую не осознает серьезность проблемы.
На фоне растущего разрыва между спросом и предложением формируется рынок продавцов — 50% респондентов назвали дефицит квалифицированных кадров одной из основных преград, мешающим службам информационной безопасности создавать полезный эффект для компании. Кроме того, растет обеспокоенность относительно недооценки масштаба проблемы со стороны высшего руководства и, следовательно, отсутствия необходимой поддержки (ее высказали 31% респондентов против 20% в 2012 году).
«Недостаток талантливых специалистов — это повсеместная проблема, — прокомментировал Кен Аллан. — Особенно остро она стоит в Европе, где как и частный, так и государственный сектор вынужден вести жесткую борьбу за яркие таланты, число которых ограничено. В результате многие компании, которые и хотели бы уделить надлежащее внимание вопросам безопасности, не имеют квалифицированных кадров для решения актуальных задач в этой области».
«Данная тенденция характерна и для стран СНГ. Стремительное развитие и использование новых технологий и решений, более сложных с точки зрения обеспечения комплексной безопасности, лишь усугубляет проблему нехватки кадров, — добавил Николай Самодаев, руководитель направления по предоставлению услуг в области управления информационными технологиями и ИТ рисками. — Чтобы адекватно реагировать на все существенные риски ИБ, современной организации нужны не просто квалифицированные специалисты, а команда профессионалов, способных адекватно реагировать по широкому спектру областей, аспектов и решений ИТ и, соответственно, обеспечения безопасности. Важно, чтобы с каждым годом появлялось больше молодых специалистов, которые смогут заполнить образовавшиеся пробелы и со временем совершенствовать систему безопасности организации».
«Компаниям следует работать на предупреждение, при этом инициатива должна исходить сверху, — заключил Пол ван Кессел. — Необходимо уделять повышенное внимание информированию персонала и выделять больше денежных средств и других ресурсов на внедрение инновационных решений в сфере безопасности. Технологии будут развиваться все более ускоренными темпами, а с ними будет расти и количество хакерских атак. Это означает, что отсутствие должного внимания к проблеме будет только играть на руку хакерам и может поставить дальнейшее существование компании под угрозу».