2010 giss results_global and ua_2010

Безопасность без границМеждународное исследование в области информационной безопасности за 2010г., проведенное компанией Ernst & Young

2010 Global Information Security Survey | 1© 2010 EYGM LimitedAll Rights Reserved

Международное исследование «Эрнст энд Янг» в области информационной безопасности

Уже 13й год подряд компания «Эрнст энд Янг» проводит Международное исследование в области информационной безопасности. Исследование является наиболее долго существующим среди аналогичных исследований в этой сфере и одним из наиболее признанных участниками рынка. Данное исследование дает организациям возможность сравнить себя с другими организациями по важным вопросам информационной безопасности, а также получить сведения, которые могут помочь в принятии важных решений.В 2010 году исследование проводилось с 1 июня по 31 июля. В нем приняли участие 1,598 организаций, функционирующих во всех основных отраслях промышленности, из 56 стран.

Вступление

Ключевые результаты исследования

Безопасность без границ

Мобильные вычисления

Облачные вычисления

Социальные сети

Наши рекомендации


Информация об участниках исследования


Участники исследования в географическом разрезе

107Австралия

310США

91Мексика

67Китай

1,598 участников из 56 стран

13Барбадос

48Бельгия

12Россия

30Сингапур

32Украина

45Финляндия

35Франция

80Италия

146Индия

13Ирландия

43Швейцария

76Нидерланды

28Турция

40Британия

24Малазия

25Филипины

31Новая Зеландия

36Бразилия

13Егирет

35Корея

19Уганда

12Греция

35Люксембург

Примечание: 22 прочих страны принимали участие в исследовании, но количество участников каждой из стран составило не более 10

14Колумбия

15Шри-Ланка

16Беларусь19

Германия

11Польша

Указано количество участников


Участники исследования в разрезе областей деятельности

Указан процент участников

64

33

67

139

76

44

29

41

53

40

20

48

33

137

126

77

88

20

329

48

43

13

30

Прочее

Транспортные компании

Телекоммуникационные компании

Технологические компании

Розничные компании

Компании недвижимости (строительство, отели и курорты)

Компании по снабжению

Компании по предоставлению профессиональных услуг

Энергетические и коммунальные компании

Компании нефтегазового сектора

Горнодобывающие и металлургические компании

СМИ и индустрия развлечений

Организации здравоохранения

Страховые компании

Правительство и общественные организации

Компании по производству промышленных продуктов

Компании по производству продуктов потребления

Химические компании

Банки и финансовые рынки

Автомобильные компании

Компании Управления Активами

Авиакомпании

Авиакосмические и оборонные организации


Участники исследования в разрезе уровня доходов


137

459

212

137

141

333

98

81

Неприменимо (например, государственная, некоммерческая)

Менее 100 млн. долларов

От 100 млн. долларов до 249 млн. долларов



От 1 млрд. долларов до 9 млрд. долларов


Свыше 24 млрд. долларов


Участники исследования в разрезе должностей

554

20

38

46

70

185

204

208

273

Другое

Операционный директор

Технический директор

Руководитель службы внутреннего аудита

Директор по безопасности

Директор по информационной безопасности

Специалист по информационным технологиям

Специалист по информационной безопасности

Директор по информационным технологиям


Информация об участниках исследования: Украина


Участники исследования в разрезе областей деятельности


9%

50%

6%

6%

3%

3%

3%

6%

13%

Энергетические и коммунальные компании

Банки и финансовые рынки

Автомобильные компании

Компании по производству промышленных продуктов

Компании по предоставлению профессиональных услуг

Розничные компании

Технологические компании

Телекоммуникационные компании

Горнодобывающие и металлургические компании


Участники исследования в разрезе уровня доходов


53%

28%

3%

6%

9%

Менее 100 млн. долларов






Вступление

В течение прошлого года мы наблюдали значительный рост использования услуг внешних поставщиков в организациях, а также внедрение новых технологий в бизнесе, таких как облачные вычисления, социальные сети и Web 2.0.

Мы также отметили продвижение технологий, которые предоставили практически безграничные возможности для мобильных сотрудников в плане взаимодействия с коллегами, заказчиками и клиентами. Эти технологии расширили возможности компаний, размывая границы между офисом и домом, между коллегами и конкурентами, тем самым разрушая традиционные представления об организации офисного труда. Именно на этих изменениях в бизнес-среде сосредоточено наше исследование в области информационной безопасности за 2010 год. Исследование рассматривает, каким образом организации адаптируют и реализуют потребности в области информационной безопасности в связи с внедрением новых технологий.


Результаты исследованияБезопасность без границ


Безопасность без границНовые технологии означают новые риски

Учитывая текущие тенденции по использованию в организациях таких технологий как социальные сети, облачные вычисления, персональные устройства, наблюдали ли Вы изменения в среде рисков, с которыми сталкивается Ваша организация?

60% респондентов ощутили рост уровня рисков, связанных с использованием социальных сетей, облачных вычислений и персональных устройств, используемых в организации


60%

3%

37%

Да, уровень риска увеличился

Нет, уровень риска уменьшился

Относительно постоянный уровень риска


Безопасность без границНовые технологии означают новые риски

Учитывая текущие тенденции по использованию в организациях таких технологий как социальные сети, облачные вычисления, персональные устройства, наблюдали ли Вы изменения в среде рисков, с которыми сталкивается Ваша организация?

50% респондентов в Украине ощутили рост уровня рисков, связанных с использованием социальных сетей, облачных вычислений и персональных устройств, используемых в организации


50.00%

6.25%

43.75% Да, уровень риска увеличился

Нет, уровень риска уменьшился

Относительно постоянный уровень риска


Безопасность без границОрганизации повышают свои расходы на обеспечение защиты от новых угроз информационной безопасности

Какое из перечисленных высказываний лучше всего характеризует долю ежегодных инвестиций в информационную безопасность в общих расходах вашей организации?

46% респондентов отметили увеличение ежегодных инвестиций в информационную безопасность. Только 6% из опрошенных планируют сократить расходы на информационную безопасность в своей организации


46%

6%

48%

Увеличение доли в общих расходах организации

Снижение доли в общих расходах организации

Относительно постоянная доля в общих расходах организации



Какое из перечисленных высказываний лучше всего характеризует долю ежегодных инвестиций в информационную безопасность в общих расходах вашей организации?

34% украинских респондентов отметили увеличение ежегодных инвестиций в информационную безопасность. 13% из опрошенных планируют сократить расходы на информационную безопасность в своей организации


34%

13%

50%

Увеличение доли в общих расходах организации

Снижение доли в общих расходах организации

Относительно постоянная доля в общих расходах организации





• Создание всеобъемлющей программы управления ИТ-рисками, которая определяет и устраняет риски, связанные с новым и развивающимися технологиями

• Проведение оценки рисков для выявления потенциальных угроз и принятие соответствующих превентивных мер по результатам оценки

• Принятие "информационно-ориентированного" подхода к управлению безопасностью, который наиболее соответствует целям бизнеса


Результаты исследованияМобильные вычисления


Мобильные вычисленияПотребности мобильных сотрудников вызывают необходимость изменения способов поддержки и защиты потоков информации в организации

Оцените уровень влияния факторов, приведенных ниже, на реализацию инициатив в области информационной безопасности в вашей организации

53% респондентов отметили, что увеличение мобильности сотрудников значительно затрудняет эффективную реализацию инициатив в области информационной безопасности


7%

9%

8%

7%

13%

17%

17%

23%

20%

22%

20%

24%

25%

28%

28%

31%

36%

31%

39%

42%

35%

32%

36%

36%

34%

29%

29%

28%

27%

27%

25%

21%

22%

22%

19%

17%

14%

12%

10%

8%

13%

14%

9%

7%

6%

6%

4%

6%

4%

1%

Неопределенность в бизнесе

Социальные сети (например, FaceBook, LinkedIn, Twitter)

Изменения или отсутствие ясности в нормативных и законодательных актах

Новые технологии (например, облачные вычисления, виртуализация)

Организационные изменения

Осведомленность руководства и поддержка со стороны руководства

Увеличение мобильности сотрудников (например, мобильные устройства, ноутбуки)

Адекватный бюджет

Наличие квалифицированных ресурсов

Уровень осведомленности персонала по вопросам безопасности

Существенная проблема 4 3 2 Не существенная проблема



Оцените уровень влияния факторов, приведенных ниже, на реализацию инициатив в области информационной безопасности в вашей организации

В Украине лишь 33% респондентов отметили, что увеличение мобильности сотрудников значительно затрудняет эффективную реализацию инициатив в области информационной безопасности


3%

3%

3%

9%

9%

10%

16%

16%

22%

35%

9%

6%

13%

16%

28%

23%

13%

26%

28%

26%

31%

23%

35%

19%

38%

35%

35%

26%

25%

19%

38%

39%

29%

25%

16%

23%

29%

29%

25%

13%

19%

29%

19%

31%

9%

10%

6%

3%

0%

6%

Уровень осведомленности персонала по вопросам безопасности

Адекватный бюджет

Осведомленность руководства и поддержка со стороны руководства

Наличие квалифицированных ресурсов

Организационные изменения

Увеличение мобильности сотрудников (например, мобильные устройства, ноутбуки)

Неопределенность в бизнесе

Изменения или отсутствие ясности в нормативных и законодательных актах

Новые технологии (например, облачные вычисления, виртуализация)

Социальные сети (например, FaceBook, LinkedIn, Twitter)

Существенная проблема 4 3 2 Не проблема


Мобильные вычисления Наиболее высоким риском, связанным с использованием мобильных устройств, является утечка бизнес информации

Из приведенного ниже списка, какие 5 областей ИТ рисков являются наиболее критичными для Вашей организации? 64% респондентов

отметили, что данные являются одной из наиболее критичных областей ИТ рисков


4%

4%

4%

3%

3%

6%

4%

5%

14%

19%

31%

3%

6%

4%

4%

6%

5%

7%

7%

7%

14%

18%

16%

3%

4%

5%

6%

7%

8%

6%

8%

9%

8%

10%

13%

11%

4%

4%

7%

6%

9%

10%

9%

8%

10%

9%

9%

8%

7%

6%

6%

6%

8%

8%

6%

10%

7%

10%

12%

8%

6%

6%

Технология (например, неправильный выбор технологии, неудачное использование новых технологий)

Физическая среда (например, сбои оборудования, природные катастрофы)

Мошенничество и кражи (например, кража ноутбуков и серверов, умышленная подмена данных)

Стратегия и согласование (например, различные приоритеты, отсутствие корпоративной ответственности)

Программы и проекты (например, перерасход бюджета, задержки, плохое качество)

Инфраструктура (например, неправильная конфигурация оборудования, негибкая архитектура)

Обеспечение персоналом (например, несоответствие квалификации, потеря ключевых ресурсов)

Юридические и регуляторные риски (например, несоответствие требованиям регулятора или условиям контракта)

Операционные риски (например, ошибки оператора, нарушения операционного процесса)

Поставки третьих сторон и аутсорсинг (например, отсутствие требований безопасности, отсутствие гарантий)

Приложения и базы данных (например, приложения без поддержки, системные сбои)

Данные (например, искажение данных, разглашение критичных данных)

Обеспечение доступности критичных ИТ ресурсов (например, приложения, инфраструктура)

Основной риск 2й 3й 4й 5й по критичности



Из приведенного ниже списка, какие 5 областей ИТ рисков являются наиболее критичными для Вашей организации? 75% респондентов в

Украине так же считают, что данные являются одной из наиболее критичных областей ИТ рисков


0%

0%

6%

3%

3%

3%

0%

9%

28%

22%

25%

3%

0%

0%

0%

3%

3%

9%

13%

3%

16%

22%

25%

3%

3%

6%

6%

0%

6%

3%

6%

16%

6%

9%

28%

6%

3%

13%

6%

6%

6%

9%

13%

6%

3%

9%

13%

3%

9%

9%

0%

6%

9%

13%

3%

3%

9%

6%

19%

9%

0%

9%

Технология (например, неправильный выбор технологии, неудачное использование новых технологий)

Инфраструктура (например, неправильная конфигурация оборудования, негибкая архитектура)

Поставки третьих сторон и аутсорсинг (например, отсутствие требований безопасности, отсутствие гарантий)

Стратегия и согласование (например, различные приоритеты, отсутствие корпоративной ответственности)

Физическая среда (например, сбои оборудования, природные катастрофы)

Программы и проекты (например, перерасход бюджета, задержки, плохое качество)

Юридические и регуляторные риски (например, несоответствие требованиям регулятора или условиям контракта)

Операционные риски (например, ошибки оператора, нарушения операционного процесса)

Обеспечение персоналом (например, несоответствие квалификации, потеря ключевых ресурсов)

Мошенничество и кражи (например, кража ноутбуков и серверов, умышленная подмена данных)

Приложения и базы данных (например, приложения без поддержки, системные сбои)

Данные (например, искажение данных, разглашение критичных данных)

Обеспечение доступности критичных ИТ ресурсов (например, приложения, инфраструктура)

Основной риск 2й 3й 4й 5й по критичности


Мобильные вычисления Организации осознают риски, связанные с использованием персональных устройств и предпринимают шаги с целью минимизации этих рисков

По сравнению с текущим годом, планируется ли в Вашей организации увеличение или уменьшение объема расходов на перечисленные ниже мероприятия в следующем году?

50% респондентов в следующем году планируют увеличение затрат на технологии и процессы предотвращения утечки/потери данных


17%

18%

22%

26%

28%

30%

30%

32%

32%

33%

34%

36%

41%

41%

42%

44%

48%

50%

50%

64%

74%

63%

68%

67%

63%

61%

64%

64%

63%

61%

58%

55%

55%

53%

50%

45%

45%

46%

19%

8%

15%

6%

5%

7%

9%

4%

4%

4%

5%

6%

4%

4%

5%

6%

7%

5%

4%

Передача функций информационной безопасности на аутсорсинг

Поддержка расследований по информационной безопасности / борьба с …

Найм сотрудников информационной безопасности

Планы и средства реакции на инциденты

Соблюдение нормативных требований организации

Внедрение или улучшение внутренних процессов разработки ПО (например, …

Внедрение стандартов безопасности (например, ISO/IEC 27002:2005)

Внедрение метрик информационной безопасности и отчетности по ним

Защита интеллектуальной собственности

Технологии и процессы управления уязвимостями

Защита персональной информации

Тестирование функции обеспечения информационной безопасности …

Управление рисками информационной безопасности

Соблюдение нормативных требований регуляторов

Программы повышения осведомленности и обучения сотрудников вопросам …

Обеспечение безопасности новых технологий (например, облачных …

Внедрение или совершенствование технологий и процессов управления …

Планы и средства обеспечения восстановления после сбоев / обеспечения …

Внедрение или совершенствование технологий и процессов DLP

Увеличение затрат Без изменений Сокращение затрат



По сравнению с текущим годом, планируется ли в Вашей организации увеличение или уменьшение объема расходов на перечисленные ниже мероприятия в следующем году?

Лишь 35% респондентов в Украине в следующем году планируют увеличение затрат на технологии и процессы предотвращения утечки/потери данных


5%

17%

19%

21%

24%

26%

26%

27%

27%

27%

27%

29%

31%

32%

35%

39%

41%

42%

48%

70%

71%

62%

79%

67%

65%

74%

62%

64%

64%

73%

57%

58%

64%

50%

57%

55%

54%

48%

25%

13%

19%

0%

10%

9%

0%

12%

9%

9%

0%

14%

12%

5%

15%

4%

5%

4%

4%

Передача функций информационной безопасности на аутсорсинг

Соблюдение нормативных требований организации

Внедрение или улучшение внутренних процессов разработки ПО (например, процесса …

Поддержка расследований по информационной безопасности / борьба с мошенничеством


Внедрение метрик информационной безопасности и отчетности по ним

Соблюдение нормативных требований регуляторов

Управление рисками информационной безопасности

Внедрение стандартов безопасности (например, ISO/IEC 27002:2005)

Планы и средства реакции на инциденты

Технологии и процессы управления уязвимостями

Найм сотрудников информационной безопасности

Программы повышения осведомленности и обучения сотрудников вопросам безопасности

Тестирование функции обеспечения информационной безопасности (например, …

Внедрение или совершенствование технологий и процессов DLP

Обеспечение безопасности новых технологий (например, облачных вычислений; …

Защита персональной информации

Планы и средства обеспечения восстановления после сбоев / обеспечения …

Внедрение или совершенствование технологий и процессов управления доступом и …

Увеличение затрат Без изменений Сокращение затрат


Мобильные вычисленияОрганизации вносят корректировки в политики, осуществляют повышение осведомленности сотрудников по вопросам безопасности, внедряют технологии шифрования и контроли управления идентификацией и доступом

Какие из следующих контролей Вы внедрили для уменьшения новых или возросших рисков?39% респондентов

пересматривают и корректируют политики с целью уменьшения новых или возросших рисков


11%

18%

19%

19%

24%

25%

28%

29%

38%

39%

Новые дисциплинарные процессы

Усиление контроля поставщиков услуг

Усиленный процесс управления контрактами

Корректировка процесса управления инцидентами

Архитектурные изменения

Усиленные средства аудита

Усиление контролей по управлению идентификацией и доступом

Технологии шифрования

Усиление действий по повышению осведомленности по вопросам безопасности

Корректировка политик



Какие из следующих контролей Вы внедрили для уменьшения новых или возросших рисков?

65% респондентов в Украине с целью уменьшения новых или возросших рисков внедряют технологии шифрования и усиливают дисциплинарные процессы


12%

18%

29%

35%

41%

47%

53%

59%

65%

65%

Усиление контроля поставщиков услуг

Усиленный процесс управления контрактами

Архитектурные изменения

Усиление контролей по управлению идентификацией и доступом

Корректировка процесса управления инцидентами

Усиленные средства аудита

Усиление действий по повышению осведомленности по вопросам безопасности

Корректировка политик

Новые дисциплинарные процессы

Технологии шифрования





• Увеличение инвестиций в технологии предотвращения утечки данных, шифрование и решения по управлению идентификацией и доступом

• Идентификация рисков, связанных с использованием новых технологий - в том числе технологий, используемых сотрудниками как в личных целях, так и в целях бизнеса

• Пересмотр и надлежащая корректировка политик информационной безопасности, предусматривающих ограничения в использовании мобильных вычислительных устройств

• Усиление мероприятий, нацеленных на повышение осведомленности мобильных сотрудников в вопросах информационной безопасности

• Усиление контролей безопасности на уровне мобильных устройств с целью защиты конфиденциальной бизнес информации и обеспечения целостной картины рисков, присущих организации


Результаты исследованияОблачные вычисления


Облачные вычисленияСервисы, использующие облачные вычисления, приобретают популярность, а поставщики расширяют спектр предлагаемых услуг в этом направлении

Использует ли Ваша организация в данный момент решения на основе облачных вычислений?45% респондентов на

данный момент используют либо планируют использование решений на основе облачных вычислений в течение следующих 12 месяцев


55%

15%

7%

23%

Нет, и не планируется использование в течение следующих 12 месяцев

Нет, но планирует использовать в течение следующих 12 месяцев

Да, использует в тестовом режиме

Да, в данный момент использует



Использует ли Ваша организация в данный момент решения на основе облачных вычислений?Только15% респондентов в

Украине на данный момент используют либо планируют использование решений на основе облачных вычислений в течение следующих 12 месяцев


84.375%

3.125%

6.25%

6.25%

Нет, и не планируется использование в течение следующих 12 месяцев

Нет, но планирует использовать в течение следующих 12 месяцев

Да, использует в тестовом режиме

Да, в данный момент использует


Облачные вычисленияОрганизации внедряют технологии облачных вычислений, осознавая несовершенство организации модели доверия в сервисах, использующих «публичное облако»

Какую модель вычислений Вы используете или планируете к использованию?54% респондентов используют модель вычислений «частное облако».


29%

45%

54%

Публичное облако

Инкапсулированное облако (обслуживается провайдером, но отделено от других клиентов)

Частное облако

Примечание: Допускается несколько ответов от одного респондента



Какую модель вычислений Вы используете или планируете к использованию?

Ни один из респондентов в Украине не готов доверить данные публичному облаку



0%

33%

67%

Публичное облако

Инкапсулированное облако (обслуживается провайдером, но отделено от других клиентов)

Частное облако


Облачные вычисленияРиски, связанные с облачными вычислениями должны быть идентифицированы и минимизированы до использования «публичного облака» в бизнес-приложениях

Какие “новые” или возросшие риски Вы обнаружили?39% респондентов упомянули, что потеря “общей картины” относительно того, что происходит с данными компании является риском, возросшим в связи с использованием облачных вычислений



11%

13%

15%

17%

18%

22%

29%

34%

39%

52%

Риски управления производительностью

Риск управления производственными мощностями

Сложности с обновлением планов внутреннего аудита и плана обеспечения соответствия

Риск нарушения доступности

Риски нарушения условий контракта

Повышение уровня сотрудничества с лицами за пределами организации

Сложности с техническим и процедурным мониторингом

Неавторизованный доступ

Потеря “общей картины” относительно того, что происходит с данными компании

Риски утечки данных



Какие “новые” или возросшие риски Вы обнаружили?41% украинскихреспондентов упомянули, что потеря “общей картины” относительно того, что происходит с данными компании является риском, возросшим в связи с использованием облачных вычислений



6%

6%

12%

12%

24%

29%

41%

41%

47%

88%

Сложности с обновлением планов внутреннего аудита и плана обеспечения соответствия

Риски нарушения условий контракта

Риски управления производительностью

Риск управления производственными мощностями

Риск нарушения доступности

Повышение уровня сотрудничества с лицами за пределами организации

Сложности с техническим и процедурным мониторингом

Потеря “общей картины” относительно того, что происходит с данными компании

Неавторизованный доступ

Риски утечки данных


Облачные вычисленияСертификация поставщиков сервисов, использующих облачные вычисления, позволит оценить и удостовериться в адекватности контролей информационной безопасности, а также повысит доверие к поставщикам

Повлияет ли внешняя сертификация провайдера “облачных” сервисов на Ваше доверие к “облачным” вычислениям?85% респондентов

отметили, что внешняя сертификация поставщиков повысила бы уровень доверия к облачным вычислениям


15%

20%

22%

43%

Нет

Да, в любом случае

Да, но только если сертифицирующая организация сможет продемонстрировать

аккредитацию

Да, но только если этот сертификат основан на общепринятом стандарте



Повлияет ли внешняя сертификация провайдера “облачных” сервисов на Ваше доверие к “облачным” вычислениям?60% респондентов

отметили, что внешняя сертификация поставщиков повысила бы уровень доверия к облачным вычислениям


40.00%

20.00%

20.00%

20.00%

Нет

Да, в любом случае

Да, но только если сертифицирующая организация сможет продемонстрировать

аккредитацию

Да, но только если этот сертификат основан на общепринятом стандарте





• Оценка правовых, организационных и технологических рисков, а также вопросов безопасности, связанных с размещением информации в «публичном облаке»

• Разработка стратегии компании, модели управления и оперативного подхода к использованию облачных вычислений, в том числе функции защиты информации, с целью внедрения необходимых процедур и политик

• Внедрение стандартов и минимальных требований, которые позволят обеспечить безопасность Вашей организации при использовании облачных вычислений


Результаты исследованияСоциальные сети


Социальные сетиНемногие компании провели тщательный анализ вопроса использования социальных сетей и определили подход балансирующий возможности для бизнеса с подверженностью риску

Насколько важны вопросы информационной безопасности в обеспечении следующих направлений деятельности вашей организации?Только 10% респондентов

отметили, что изучение новых и развивающихся технологий является важной задачей информационной безопасности


10%

12%

14%

16%

21%

25%

31%

34%

42%

45%

53%

56%

33%

20%

30%

37%

40%

34%

30%

43%

33%

36%

29%

26%

38%

26%

34%

31%

27%

25%

25%

18%

18%

15%

13%

12%

15%

20%

15%

12%

10%

11%

10%

4%

5%

3%

4%

4%

4%

22%

7%

4%

2%

5%

4%

1%

2%

1%

1%

2%

Изучение новых и развивающихся технологий

Содействие в ходе слияний, поглощений и продажи активов организации

Обеспечение поддержки при запуске новой услуги или продукта

Управление взаимодействием с внешними поставщиками

Повышение эффективности управления ИТ и операционной деятельности

Повышение доверия со стороны заинтересованных лиц


Управление операционными и/или корпоративными рисками

Обеспечение соответствия внутренним политикам

Обеспечение защиты персональных данных

Защита репутации и бренда

Обеспечение соблюдения нормативных требований

Очень важно 4 3 2 Не важно


3%

3%

13%

14%

23%

23%

23%

27%

29%

30%

48%

53%

32%

17%

27%

17%

32%

35%

52%

33%

39%

27%

35%

25%

42%

37%

43%

10%

23%

32%

19%

23%

19%

33%

6%

19%

10%

30%

10%

17%

16%

3%

3%

10%

6%

0%

6%

0%

13%

13%

7%

41%

6%

6%

3%

7%

6%

10%

3%

3%

Изучение новых и развивающихся технологий

Управление взаимодействием с внешними поставщиками


Содействие в ходе слияний, поглощений и продажи активов организации

Обеспечение поддержки при запуске новой услуги или продукта

Повышение эффективности управления ИТ и операционной деятельности

Обеспечение соответствия внутренним политикам

Управление операционными и/или корпоративными рисками

Повышение доверия со стороны заинтересованных лиц

Обеспечение соблюдения нормативных требований

Защита репутации и бренда

Обеспечение защиты персональных данных

Очень важно 4 3 2 Не важно


Насколько важны вопросы информационной безопасности в обеспечении следующих направлений деятельности вашей организации?Только 3% респондентов в

Украине отметили, что изучение новых и развивающихся технологий является важной задачей информационной безопасности



Социальные сетиОрганизациям следует проводить обновления политик безопасности и повышать осведомленность сотрудников относительно рисков, связанных с использованием социальных сетей

Какие аспекты в настоящее время рассматриваются в программе повышения осведомленности сотрудников по вопросам безопасности, принятой в вашей организации?

34% респондентов включают информационные обновления по рискам, связанным с социальными сетями, в программу повышения осведомленности сотрудников


15%

21%

34%

34%

43%

45%

47%

76%

У нас нет программы повышения осведомленности по вопросам безопасности

Измерение эффективности действий по повышению осведомленности

Информационные обновления по рискам, связанным с социальными сетями в рабочей среде

Проведение специальных мероприятий или тренингов в области безопасности для пользователей, входящих в группы высокого риска

Прямые и частые обновления / оповещения по текущим угрозам для организации

Информационные обновления по рискам, связанным с мобильными вычислениями

Проверка и согласование соблюдения действующих политик и стандартов в области безопасности

Повышение осведомленности сотрудников по вопросам безопасности в целом



Какие аспекты в настоящее время рассматриваются в программе повышения осведомленности сотрудников по вопросам безопасности, принятой в вашей организации?

32% Украинских респондентов включают информационные обновления по рискам, связанным с социальными сетями, в программу повышения осведомленности сотрудников


13%

21%

28%

32%

32%

43%

45%

79%

У нас нет программы повышения осведомленности по вопросам безопасности

Измерение эффективности действий по повышению осведомленности

Проверка и согласование соблюдения действующих политик и стандартов в области безопасности

Информационные обновления по рискам, связанным с социальными сетями в рабочей среде

Проведение специальных мероприятий или тренингов в области безопасности для пользователей, входящих в группы высокого риска

Прямые и частые обновления / оповещения по текущим угрозам для организации

Информационные обновления по рискам, связанным с мобильными вычислениями

Повышение осведомленности сотрудников по вопросам безопасности в целом


Социальные сетиОграничение использования социальных сетей на рабочем месте вряд ли вызовет одобрение со стороны сотрудников и может иметь нежелательные последствия

Какие из перечисленных ниже мер реализованы в вашей организации для контроля утечки конфиденциальной информации?


45% респондентов отметили ограничение или запрет на использование систем мгновенного обмена сообщениями или электронной почты для передачи конфиденциальной информации

18%

29%

44%

45%

45%

48%

51%

54%

65%

73%

Доступ к конфиденциальной информации ограничен определенными периодами времени

Запрещено использование устройств со встроенной камерой в зонах ограниченного доступа

Внедрены средства анализа журнала событий

Ограничено/запрещено использование систем мгновенного обмена сообщениями или электронной почты для передачи конфиденциальной информации

Применяется блокировка/ограничение использования отдельных компонентов аппаратного обеспечения (портов USB/ FireWire)

Сформулированы конкретные требования к пересылке/удаленному доступу к конфиденциальной информации, которая выносится за пределы офиса

Внедрены средства мониторинга/фильтрации контента

Используются средства аудита и тестирования контролей

Внедрены дополнительные механизмы безопасности в целях защиты информации

Разработана специальная политика в отношении классификации конфиденциальной информации и порядка работы с ней




Какие из перечисленных ниже мер реализованы в вашей организации для контроля утечки конфиденциальной информации?


59% респондентов в Украине отметили ограничение или запрет на использование систем мгновенного обмена сообщениями или электронной почты для передачи конфиденциальной информации


13%

16%

25%

28%

47%

53%

56%

59%

66%

72%

Запрещено использование устройств со встроенной камерой в зонах ограниченного доступа

Доступ к конфиденциальной информации ограничен определенными периодами времени

Внедрены средства анализа журнала событий

Используются средства аудита и тестирования контролей

Сформулированы конкретные требования к пересылке/удаленному доступу к конфиденциальной информации, которая выносится за пределы офиса

Внедрены средства мониторинга/фильтрации контента

Применяется блокировка/ограничение использования отдельных компонентов аппаратного обеспечения (портов USB/ FireWire)

Ограничено/запрещено использование систем мгновенного обмена сообщениями или электронной почты для передачи конфиденциальной …

Разработана специальная политика в отношении классификации конфиденциальной информации и порядка работы с ней

Внедрены дополнительные механизмы безопасности в целях защиты информации (шифрование и т.д.)





► Обеспечение доступа сотрудников к интернет-сообществам и социальным сетям с условием личной ответственности каждого сотрудника за защиту конфиденциальной информации компании

► Повышение осведомленности сотрудников и их личной ответственности в вопросах безопасности до нового качественного уровня

► Информирование всех сотрудников о рисках, и возможных негативных последствиях, связанных с использованием социальных сетей


Выводы


Основные наблюдения по результатам исследования

• 60% респондентов ощутили рост уровня рисков, связанных с использованием социальных сетей, облачных вычислений и персональных устройств, используемых в организации

• 46% респондентов отметили увеличение ежегодных инвестиций в информационную безопасность. Только 6% из опрошенных планируют сократить расходы на информационную безопасность в своей организации

• 53% респондентов отметили, что увеличение мобильности сотрудников значительно затрудняет эффективную реализацию инициатив в области информационной безопасности

• 64% респондентов отметили, что данные являются одной из наиболее критичных областей ИТ рисков

• 50% респондентов в следующем году планируют увеличение затрат на технологии и процессы предотвращения утечки/потери данных

• 39% респондентов пересматривают и корректируют политики с целью уменьшения новых или возросших рисков

• 45% респондентов на данный момент используют либо планируют использование решений на основе облачных вычислений в течение следующих 12 месяцев

• 54% респондентов используют модель вычислений «частное облако».

• 39% респондентов упомянули, что потеря “общей картины” относительно того, что происходит с данными компании является риском, возросшим в связи с использованием облачных вычислений.

• 85% респондентов отметили, что внешняя сертификация поставщиков повысила бы уровень доверия к облачным вычислениям

• Только 10% респондентов отметили, что изучение новых и развивающихся технологий является важной задачей информационной безопасности

• 34% респондентов включают информационные обновления по рискам, связанным с социальными сетями, в программу повышения осведомленности сотрудников

• 45% респондентов отметили ограничение или запрет на использование систем мгновенного обмена сообщениями или электронной почты для передачи конфиденциальной информации

Безопасностьбез границ






► Создание всеобъемлющей программы управления ИТ-рисками, которая определяет и устраняет риски, связанные с новым и развивающимися технологиями

► Проведение оценки рисков для выявления потенциальных угроз и принятие соответствующих превентивных мер по результатам оценки

► Принятие "информационно-ориентированного" подхода к управлению безопасностью, который наиболее соответствует целям бизнеса

► Увеличение инвестиций в технологии предотвращения утечки данных, шифрование и решения по управлению идентификацией и доступом

► Идентификация рисков, связанных с использованием новых технологий - в том числе технологий, используемых сотрудниками как в личных целях, так и в целях бизнеса

► Пересмотр и надлежащая корректировка политик информационной безопасности, предусматривающих ограничения в использовании мобильных вычислительных устройств

► Усиление мероприятий, нацеленных на повышение осведомленности мобильных сотрудников в вопросах информационной безопасности

► Усиление контролей безопасности на уровне мобильных устройств с целью защиты конфиденциальной бизнес информации и обеспечения целостной картины рисков, присущих организации

► Оценка правовых, организационных и технологических рисков, а также вопросов безопасности, связанных с размещением информации в «публичном облаке»

► Разработка стратегии компании, модели управления и оперативного подхода к использованию облачных вычислений, в том числе функции защиты информации, с целью внедрения необходимых процедур и политик

► Внедрение стандартов и минимальных требований, которые позволят обеспечить безопасность Вашей организации при использовании облачных вычислений

► Обеспечение доступа сотрудников к интернет-сообществам и социальным сетям с условием личной ответственности каждого сотрудника за защиту конфиденциальной информации компании

► Повышение осведомленности сотрудников и их личной ответственности в вопросах безопасности до нового качественного уровня

► Информирование всех сотрудников о рисках, и возможных негативных последствиях, связанных с использованием социальных сетей






Ernst & Young

Assurance | Tax | Transactions | Advisory

About Ernst & YoungErnst & Young is a global leader in assurance, tax, transaction and advisory services. Worldwide, our 144,000 people are united by our shared values and an unwavering commitment to quality. We make a difference by helping our people, our clients and our wider communities achieve their potential.

For more information, please visit www.ey.com.

Ernst & Young refers to the global organization of member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients.

The Ernst & Young organization is divided into five geographic areas and firms may be members of the following entities: Ernst & Young Americas LLC, Ernst & Young EMEIA Limited, Ernst & Young Far East Area Limited and Ernst & Young Oceania Limited.

About Ernst & Young’s Advisory ServicesThe relationship between risk and performance improvement is an increasingly complex and central business challenge, with business performance directly connected to the recognition and effective management of risk. Whether your focus is on business transformation or sustaining achievement, having the right advisors on your side can make all the difference. Our 18,000 advisory professionals form one of the broadest global advisory networks of any professional organization, delivering seasoned multidisciplinary teams that work with our clients to deliver a powerful and superior client experience. We use proven, integrated methodologies to help you achieve your strategic priorities and make improvements that are sustainable for the longer term. We understand that to achieve your potential as an organization, you require services that respond to your specific issues, so we bring our broad sector experience and deep subject matter knowledge to bear in a proactive and objective way. Above all, we are committed to measuring the gains and identifying where the strategy is delivering the value your business needs. It’s how Ernst & Young makes a difference.

© 2010 EYGM Limited. All Rights Reserved.Proprietary and confidential. Do not distribute without written permission.

http://www.ey.com

2010 giss results_global and ua_2010

Documents