На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

Ограничение расходов на информационную безопасность и аудит для достижения лучших результатов


Алексей Чередниченко
ведущий консультант Symantec в России и СНГ
Itsec.Ru

 

Управление бизнес-рисками

Любая деятельность подвержена тем или иным рискам, и использование информационных технологий не является исключением. Грамотное управление основными бизнес-рисками и возможность сокращения избыточных расходов зависит от эффективности тех или иных методов, принятых в организации, а их отсутствие ведет к повышенным затратам, финансовой незащищенности и репутационным потерям.

По аналогии с нестрахуемым минимумом все организации хотят гарантированно выдерживать некоторый уровень финансовых потерь в результате кражи или утраты информации о клиентах или в результате простоев из-за неполадок в ИТ-системах. Однако на фоне финансовой незащищенности фактические потери организаций оказываются гораздо выше, чем те потери, которые они готовы выдерживать. Но в результате ряда усовершенствований методов управления бизнес-рисками можно добиться заметных положительных результатов.

Исследования, проведенные организацией IT Policy Compliance Group (IT PCG) , показывают, что почти у всех организаций есть финансовые стимулы к проведению ряда мероприятий с целью снижения финансовых рисков от утраты данных, простоев и аудиторских проверок. В настоящем отчете содержатся итоги текущих и недавних исследований IT PCG, включая выводы, касающиеся основных экономических и операционных показателей организаций; финансовых рисков, потерь и финансовых результатов; мер, принятие которых оказывает наибольшее влияние на снижение затрат и улучшение показателей.


Основные риски

Экономические и финансовые риски от использования ИТ непосредственно связаны с тем, насколько эффективно организации обеспечивают конфиденциальность, целостность и доступность информации и ИТ-ресурсов. А это, в свою очередь, непосредственно зависит от мер и процедур контроля, применяемых с целью защиты и поддержания целостности конфиденциальной информации, прохождения аудиторских проверок, а также от имеющихся в наличии ИТ-сервисов.

Основные экономические и финансовые риски организации зависят от следующих показателей:

  • защита конфиденциальной информации;

  • целостность информации, ресурсов и инструментов управления ИТ;

  • доступность ИТ-сервисов. Риски от нарушения конфиденциальности, целостности и доступности имеющейся в организации информации значительно превышают остальные возможные риски, включая аутсорсинг, задержку реализации других ИТ-проектов и недостаточную квалификацию персонала. При этом финансовые потери в результате трех основных рисков широко варьируются в зависимости от целого ряда факторов.

Результаты

В ходе исследования IT PCG измерялись три основных показателя:

1. масштабы утечки или утраты информации о клиентах;

2. число и продолжительность простоев из-за аварий и неполадок в ИТ-системах;

3. недостатки ИТ-систем, которые необходимо устранить, чтобы пройти аудиторскую проверку.

Наихудшие результаты. Примерно две из каждых 10 организаций (19%) показали наихудшие результаты: самое большое количество инцидентов, связанных с утратой или утечками данных, самые длительные простои от неполадок в ИТ-системах и самые большие проблемы с соблюдением нормативных требований. В этих компаниях ежегодно происходит свыше 15 инцидентов, связанных с утратой или кражей данных, устраняется свыше 15 недостатков в информационных системах, чтобы пройти аудит, а результатом неполадок в ИТ-си-стемах становятся простои длительностью 80 и более часов.

Нормативные результаты. Почти семь из каждых 10 организаций (68%) укладываются в диапазон от 3 до 15 случаев утраты данных, от 7 до 79 часов простоя и от 3 до 15 требующих устранения недостатков в ИТ-системах в год.

Наилучшие результаты. Одна из каждых 10 организаций (13%) стабильно получает лучшие результаты: менее трех случаев утраты конфиденциальной информации, менее шести часов простоя и менее трех подлежащих устранению недостатков в год.

Финансовые результаты организаций напрямую связаны с показателями их ИТ-служб. Организации с наихудшими ИТ-показателями демонстрируют и самый высокий уровень финансовой незащищенности и потерь (рис. 1).

Эффективность и грамотность мер, принимаемых ИТ-службами организаций, влияет как на объемы финансовых потерь, так и на их частоту. Например, в организациях, демонстрирующих наиболее эффективные методы управления бизнес-рисками от использования ИТ, утечки конфиденциальных данных происходят раз в десятилетия и приносят меньшие убытки. Между тем фирмы с наихудшей практикой испытывают более тяжелые финансовые последствия от частых потерь информации о клиентах.

В целом среднегодовое число инцидентов, связанных с утратой или кражей данных, а также частота и степень нарушений бизнес-процессов в результате отказов и неполадок в ИТ-системах организаций остается довольно высоким (см. таблицу).

Управление рисками - финансовые результаты

В зависимости от размера организации и текущего уровня безопасности экономия от сокращения потерь в результате совершенствования методов управления бизнес-рисками лежит в диапазоне от 100 до 1000% и более в год. С учетом этого у большинства организаций есть твердые экономические основания для совершенствования методов управления рисками (рис. 2).

Расходы на аудит

Большинство организаций тратят неоправданно много средств на ежегодные аудиторские проверки. Затраты семи из каждых 10 организаций - на 66% выше, чем затраты компаний с наихудшими показателями, и на 100% превышают затраты организаций с наилучшими показателями. Последние ежегодно на подготовку и прохождение аудиторских проверок расходуют на 35-52% меньше средств.

Все организации независимо от размера и вида деятельности имеют равные возможности для снижения рисков, сокращения затрат и улучшения своих финансовых результатов. С точки зрения защиты данных своих клиентов фирмы из более регулируемых отраслей не имеют скрытых преимуществ перед организациями из отраслей, менее подверженных государственному регулированию. У крупных предприятий нет преимуществ перед малыми, когда речь идет о поддержании бесперебойного функционирования ИТ-служб.

Главным фактором, влияющим на производственные показатели, финансовые риски и перерасход средств, является эффективность методов управления рисками и контроля затрат. Организации с наихудшими результатами и наибольшими потерями от использования ИТ на самом деле тратят на информационную безопасность столько же, сколько фирмы, подверженные наименьшим рискам и демонстрирующие наилучшие результаты. Разница - в методах управления рисками и уровне затрат на прохождение аудиторских проверок.

Основные причины проблем, возникающих при подготовке и проведении аудита, непосредственно связаны с методами обеспечения информационной безопасности и практик внутреннего контроля, причем:

  • пять главных причин таких проблем прямо вытекают из этих причин;

  • семь из десяти проблем, связанных с прохождением аудиторских проверок, так или иначе связаны с методами обеспечения информационной безопасности и практик внутреннего контроля.

Хотя утечки персональных данных клиентов приводят к нежелательному вниманию прессы, а длительные простои могут временно нарушить работу организации, основное внимание необходимо сосредоточить на совершенствовании повседневного, текущего управления информационной безопасностью и практик внутреннего контроля. Недостаточно просто выделить бюджет на информационную безопасность и аудит, нужно еще провести ряд мероприятий по снижению рисков, сокращению расходов и улучшению финансовых результатов.


Ограничение расходов

Вместо того чтобы увеличивать расходы на информационную безопасность, организациям, подверженным наибольшим финансовым рискам и демонстрирующим наихудшие ИТ-показатели, следует переориентировать свои расходы на строго выборочные мероприятия, которые в конечном счете принесут более высокие результаты.

Кроме того, многим организациям следует подумать об отказе от методов, которые не работают и не приносят желаемого результата, о внедрении проверенных на практике решений и организационных мер и постепенном снижении финансовых рисков и расходов на аудит. Процент возврата от поэтапного наращивания расходов на информационную безопасность достаточно высок, но в любом случае затраты должны быть сосредоточены только на тех направлениях, где они приводят к наилучшим результатам.

Управление бюджетом

Как было сказано выше, организации, демонстрирующие наихудшие результаты аудиторских проверок, а также наиболее частые инциденты, связанные с утечками данных и простоями в работе, тратят на информационную безопасность примерно столько же, сколько организации, демонстрирующие наилучшие результаты. Большинство же организаций, напротив, расходует вдвое меньше. В итоге "худшие" тратят деньги на информационную безопасность и аудит, не достигая нужного результата, большинство организаций выделяет недостаточно средств на необходимые меры, а "лучшие" сочетают расходы на ИБ с рядом эффективных мер, которые приносят реальный результат. Управление бюджетом на ИБ и аудит с учетом имеющихся рисков определяет общие цели и задачи для достижения лучших результатов.

Рекомендации

На основе результатов, которых достигли компании, демонстрирующие наименьшие финансовые потери и самые низкие расходы на аудит, составлены следующие рекомендации:

  • Определить цели и задачи для эффективного управления операционными проблемами и финансовыми рисками.

  • Направить расходы на те меры, которые ведут к снижению рисков.

  • Определить цели и задачи по сокращению расходов на прохождение аудиторских проверок.

  • Оптимально организовать работу:

1. назначить руководителя службы информационной безопасности, ответственного за все направления ИБ, включая соблюдение нормативных требований;

2. возложить на руководителя ИТ-службы ответственность за эффективность ИТ-систем.

  • Принять специальные меры, включая:

  1. приоритизацию и управление бизнес-рисками;

  2. совершенствование инструментов ИТ-контроля с целью управления бизнес-рисками;

  3. автоматизацию процесса сбора данных для аудиторских проверок ИТ-систем;

  4. повышение частоты проверок, проведения оценок и предоставления отчетов (еженедельно или дважды в месяц).

  • Повысить уровень автоматизации ИТ-инструментов, в особенности:

  1. технических средств обеспечения информационной безопасности;

  2. средств управления учетными записями авторизованных пользователей.

  • Оценивать бизнес-риски от использования ИТ по следующим показателям:

  1. потеря конфиденциальности, целостности и доступности;

  2. степень экономического и человеческого влияния.

Кроме того, рекомендуется для информирования всех сотрудников регулярно готовить небольшие отчеты по бизнес-рискам от использования ИТ, в числе которых:

1. отчеты об уровне качества операционной деятельности;

2. краткие выдержки о влиянии финансово-экономических факторов;

3. отчеты по соответствию законодательным нормам;

4. отчеты о влиянии юридических и административных факторов;

5. информация о текущих событиях;

6. отчеты об аудиторских проверках ИТ-систем;

7. отчеты об аудиторских проверках систем ИБ.

Снижение финансовых рисков и потерь, так же как и сокращение расходов на прохождение аудиторских проверок, зависит от того, принимаются ли соответствующие организационные меры и адекватные действия.

В текущей обстановке многие организации уже сократили свои расходы: задача в том, чтобы достичь большего меньшими средствами. Выделение средств на автоматизацию систем контроля, проведение регулярного мониторинга и оценок информационных систем с учетом бизнес-рисков от использования ИТ - вот основные факторы успеха.

 

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2009

 

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru