Исследование IT PCG выявило значительный потенциал экономии, связанный с информационной безопасностью и аудиторскими проверками

Исследование IT PCG выявило значительный потенциал экономии, связанный с информационной безопасностью и аудиторскими проверками

Организация IT Policy Compliance Group (IT PCG) объявила о выпуске своего очередного аналитического отчета «Финансирование информационной безопасности и ИТ с учетом риска» (Risk-based Performance Budgeting for Information Security and Audit in IT). Исследование, основанное на опросе более чем 2600 фирм, показало, что 68% из них недофинансируют информационную безопасность с учетом финансовых рисков и потерь. В то же время последовательное увеличение средств, выделяемых на внедрение практических рекомендаций, приводит для средней организации к финансовому результату в размере от 200% до более чем 100 000% от вложенных инвестиций. 


Исследование, спонсируемое организациями Computer Security Institute, The Institute of Internal Auditors, Protiviti, ISACA, IT Governance Institute и Symantec, предлагает подход к финансированию информационной безопасности с учетом рисков, который дает ощутимые результаты; практические рекомендации, помогающие управлять деловыми и финансовыми рисками, связанными с использованием ИТ; и существенную экономию расходов на аудит в сфере ИТ. 


«Все организации хотят гарантировать некоторый минимальный уровень финансовых потерь, возможные утечки информации о клиентах или определенное минимальное время простоев из-за неполадок в ИТ-системах, подобно франшизе (нестрахуемому минимуму) в страховании, — комментирует управляющий директор IT PCG и руководитель научных исследований Symantec Джим Харли (Jim Hurley). — Однако исследование показывает, что защита организаций от потерь находится на очень низком уровне, а усовершенствования, даже самые мелкие, дают чрезвычайно высокие финансовые результаты». 


Главные бизнес-риски


Значительно выше других возможных рисков фирмы оценивают три бизнес-риска от ИТ: риск утечки конфиденциальной информации; риск нарушения целостности информации и риск недоступности ИТ-сервисов. В отчете IT PCG используются результаты регулярных измерений показателей фирм по этим трем источникам риска. Эти результаты можно классифицировать следующим образом:


Наихудшие показатели: 19% фирм каждый год имеют свыше 15 инцидентов потери или кражи данных, 80 или более часов простоев из-за отказа ИТ-систем и обнаруживают свыше 15 недостатков при аудиторских проверках. 
Нормативные показатели: 68% фирм работают с «нормальными» уровнями потерь, переживая в год от 3 до 15 инцидентов потери или кражи данных, 7-79 часов простоев из-за отказа ИТ-систем и обнаруживая от 3 до 15 недостатков при аудиторских проверках. 


Лучшие показатели: 13% фирм достигают наилучших результатов, испытывая в год менее 3 инцидентов потери или кражи данных, менее 7 часов простоев из-за отказа ИТ-систем и обнаруживая менее 3 недостатков при аудиторских проверках. Эти организации получают экономический эффект в размере от 22% до более чем 3000% в год. 
Как это ни удивительно, разница в показателях между наихудшими и наилучшими организациями не зависит от размера бюджета безопасности. Фактически, эта разница в размерах бюджетов пренебрежимо мала. Важно то, как эти бюджеты используются. 


Финансовые последствия


Финансовые последствия этих рисков, как оказалось, почти целиком зависят от практики управления их влиянием, применяемой ИТ-подразделением. Не удивительно, что фирмы, применяющие практические рекомендации, испытывают меньше финансовых потерь, и у них эти потери минимальны. Фирмы с наихудшими условиями расплачиваются за это потерей и утечкой данных, эквивалентной 9,6% годового дохода, а простои обходятся им почти в 3% годового дохода. 
Среди организаций с доходом $5 млрд совокупный убыток от потери или утечки данных и простоев лежит в интервале от $329 млн для фирм с наихудшей практикой до $2,25 млн для фирм, применяющих практические рекомендации — в 149 раз меньше. 


Исследование обнаружило, что фирмы с наилучшими результатами теряют на выплаты и расходы, связанные с аудиторскими проверками, на 35%-52% меньше. Для таких фирм регулирование количества средств, выделяемых на меры по снижению риска, потерь и расходов на аудиторские проверки, может принести финансовый эффект, на 1000%-500 000% превышающий те потери, с которыми организация готова смириться.


Снижение рисков и сокращение расходов


«Фирмы могут либо дожидаться экстренной ситуации, которая вынудит их пересмотреть приоритеты, либо решить, что в их интересах внедрить эти проверенные отраслевые стандарты», — говорит Харли. 


В новом отчете приводятся следующие пять рекомендаций, используемых организациями с наилучшими результатами и минимальными финансовыми потерями:


1. Привлечение высшего руководства к управлению риском
2. Расстановка приоритетов, совершенствование средств контроля и автоматизация процедур по снижению рисков
3. Непрерывная оценка средств контроля и рисков
4. Применение технических средств контроля, правил и управления изменениями в ИТ-системах
5. Исчерпывающая отчетность


Цитаты руководителей организаций-членов IT PCG


«Этот отчет – наглядная демонстрация выгод, которые организации могут получить от эффективного управления безопасностью, надежностью и другими связанными с ИТ бизнес-рисками, — говорит член рабочей группы ИТ-рисков Института управления ИТ (IT Governance Institute) Брайан Барнье (Brian Barnier). — Практические рекомендации, такие как бесплатно загружаемая система COBIT, могут помочь организациям принять конкретные меры для снижения риска и достижения максимальных экономических выгод». 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инструмент для взлома GrayKey работает с iPhone 16, но не с iOS 18

Слитые на днях документы показали, что GrayKey, инструмент для взлома iPhone, может получить доступ и к последней модели смартфона — iPhone 16. Однако только в том случае, если он работает на не бета-версии iOS 18.

Graykey можно назвать прямым конкурентом Cellebrite. Последняя программа, например, недавно помогла взломать смартфон стрелка, ранившего Дональда Трампа.

Разработчики GrayKey и Cellebrite скупают информацию об уязвимостях нулевого дня, которые Apple ещё не успела пропатчить. Интересно, что обе компании регулярно публикуют таблицу с актуальным списком девайсов, которые можно взломать.

Изданию 404Media удалось получить часть внутренних документов Graykey, согласно которым софт может взломать всю линейку iPhone 11, а также частично модели с iPhone 12 по iPhone 16 включительно.

Таким образом, можно сделать вывод, что последние существенные аппаратные меры безопасности Apple реализовала именно в iPhone 12. Тем не менее, поскольку подробности не раскрываются, остаётся лишь гадать, что значит «частичный взлом».

Это может быть обычный доступ к незашифрованному содержимому хранилища и метаданным зашифрованного контента. Однако GrayKey не может ничего противопоставить любой из бета-версий iOS 18, о чём говорит сама таблица.

Отметим также новую функцию безопасности в iOS 18 — автоматический перезапуск iPhone, который недавно добавил головной боли полиции.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru