Исследование IT PCG выявило значительный потенциал экономии, связанный с информационной безопасностью и аудиторскими проверками
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

→ Оставить заявку
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Исследование IT PCG выявило значительный потенциал экономии, связанный с информационной безопасностью и аудиторскими проверками

Организация IT Policy Compliance Group (IT PCG) объявила о выпуске своего очередного аналитического отчета «Финансирование информационной безопасности и ИТ с учетом риска» (Risk-based Performance Budgeting for Information Security and Audit in IT). Исследование, основанное на опросе более чем 2600 фирм, показало, что 68% из них недофинансируют информационную безопасность с учетом финансовых рисков и потерь. В то же время последовательное увеличение средств, выделяемых на внедрение практических рекомендаций, приводит для средней организации к финансовому результату в размере от 200% до более чем 100 000% от вложенных инвестиций. 


Исследование, спонсируемое организациями Computer Security Institute, The Institute of Internal Auditors, Protiviti, ISACA, IT Governance Institute и Symantec, предлагает подход к финансированию информационной безопасности с учетом рисков, который дает ощутимые результаты; практические рекомендации, помогающие управлять деловыми и финансовыми рисками, связанными с использованием ИТ; и существенную экономию расходов на аудит в сфере ИТ. 


«Все организации хотят гарантировать некоторый минимальный уровень финансовых потерь, возможные утечки информации о клиентах или определенное минимальное время простоев из-за неполадок в ИТ-системах, подобно франшизе (нестрахуемому минимуму) в страховании, — комментирует управляющий директор IT PCG и руководитель научных исследований Symantec Джим Харли (Jim Hurley). — Однако исследование показывает, что защита организаций от потерь находится на очень низком уровне, а усовершенствования, даже самые мелкие, дают чрезвычайно высокие финансовые результаты». 


Главные бизнес-риски


Значительно выше других возможных рисков фирмы оценивают три бизнес-риска от ИТ: риск утечки конфиденциальной информации; риск нарушения целостности информации и риск недоступности ИТ-сервисов. В отчете IT PCG используются результаты регулярных измерений показателей фирм по этим трем источникам риска. Эти результаты можно классифицировать следующим образом:


Наихудшие показатели: 19% фирм каждый год имеют свыше 15 инцидентов потери или кражи данных, 80 или более часов простоев из-за отказа ИТ-систем и обнаруживают свыше 15 недостатков при аудиторских проверках. 
Нормативные показатели: 68% фирм работают с «нормальными» уровнями потерь, переживая в год от 3 до 15 инцидентов потери или кражи данных, 7-79 часов простоев из-за отказа ИТ-систем и обнаруживая от 3 до 15 недостатков при аудиторских проверках. 


Лучшие показатели: 13% фирм достигают наилучших результатов, испытывая в год менее 3 инцидентов потери или кражи данных, менее 7 часов простоев из-за отказа ИТ-систем и обнаруживая менее 3 недостатков при аудиторских проверках. Эти организации получают экономический эффект в размере от 22% до более чем 3000% в год. 
Как это ни удивительно, разница в показателях между наихудшими и наилучшими организациями не зависит от размера бюджета безопасности. Фактически, эта разница в размерах бюджетов пренебрежимо мала. Важно то, как эти бюджеты используются. 


Финансовые последствия


Финансовые последствия этих рисков, как оказалось, почти целиком зависят от практики управления их влиянием, применяемой ИТ-подразделением. Не удивительно, что фирмы, применяющие практические рекомендации, испытывают меньше финансовых потерь, и у них эти потери минимальны. Фирмы с наихудшими условиями расплачиваются за это потерей и утечкой данных, эквивалентной 9,6% годового дохода, а простои обходятся им почти в 3% годового дохода. 
Среди организаций с доходом $5 млрд совокупный убыток от потери или утечки данных и простоев лежит в интервале от $329 млн для фирм с наихудшей практикой до $2,25 млн для фирм, применяющих практические рекомендации — в 149 раз меньше. 


Исследование обнаружило, что фирмы с наилучшими результатами теряют на выплаты и расходы, связанные с аудиторскими проверками, на 35%-52% меньше. Для таких фирм регулирование количества средств, выделяемых на меры по снижению риска, потерь и расходов на аудиторские проверки, может принести финансовый эффект, на 1000%-500 000% превышающий те потери, с которыми организация готова смириться.


Снижение рисков и сокращение расходов


«Фирмы могут либо дожидаться экстренной ситуации, которая вынудит их пересмотреть приоритеты, либо решить, что в их интересах внедрить эти проверенные отраслевые стандарты», — говорит Харли. 


В новом отчете приводятся следующие пять рекомендаций, используемых организациями с наилучшими результатами и минимальными финансовыми потерями:


1. Привлечение высшего руководства к управлению риском
2. Расстановка приоритетов, совершенствование средств контроля и автоматизация процедур по снижению рисков
3. Непрерывная оценка средств контроля и рисков
4. Применение технических средств контроля, правил и управления изменениями в ИТ-системах
5. Исчерпывающая отчетность


Цитаты руководителей организаций-членов IT PCG


«Этот отчет – наглядная демонстрация выгод, которые организации могут получить от эффективного управления безопасностью, надежностью и другими связанными с ИТ бизнес-рисками, — говорит член рабочей группы ИТ-рисков Института управления ИТ (IT Governance Institute) Брайан Барнье (Brian Barnier). — Практические рекомендации, такие как бесплатно загружаемая система COBIT, могут помочь организациям принять конкретные меры для снижения риска и достижения максимальных экономических выгод». 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В России заработала платформа Kaspersky Cybersecurity Training

Анонсирован запуск русскоязычной платформы Kaspersky Cybersecurity Training, на которой специалисты по ИТ и ИБ смогут оттачивать свои навыки с помощью онлайн-курсов, разработанных в «Лаборатории Касперского».

Программы обучения, в том числе самостоятельного, также будут полезны организациям, желающим расширить компетенции своих безопасников. Ранее тренинги Kaspersky были доступны лишь на английском языке.

Представленные на платформе курсы разнообразны и рассчитаны на разные уровни подготовки. На русском языке представлены популярный тренинг «Техники продвинутого анализа вредоносного ПО» и новый — «Безопасная разработка программного обеспечения».

Последний будет расширяться, а пока охватывает следующие темы:

  • основы и жизненный цикл безопасной разработки, опыт реализации и внедрения, основные практики и инструменты;
  • подходы к моделированию киберугроз и проектированию архитектуры продуктов;
  • основы OWASP, интеграция инструментов и проектов OWASP в процессы разработки;
  • безопасная разработка на С/C++, с подробным разбором образцов кода; рекомендации по предотвращению и исправлению ошибок, приводящих к появлению уязвимостей.

«Онлайн-тренинги “Лаборатории Касперского” для ИБ-экспертов прошли специалисты из более чем 50 стран, — комментирует Антон Иванов, директор Kaspersky по исследованиям и разработке. — Эти курсы использовались в том числе для обучения сотрудников Интерпола. Наше портфолио охватывает разные темы, от базовых знаний по реверс-инжинирингу и написанию правил YARA до продвинутых методов поиска угроз и анализа вредоносного ПО, исследования инцидентов и цифровой криминалистики. Теперь они стали доступнее для русскоязычных специалистов».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru