Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите бесплатную демоверсию и консультацию

+7(495) 221-24-31

Вернуться к списку

Ernst & Young: Информационная безопасность становится одним из решающих факторов для достижения бизнес-целей

РБК: Какие тенденции, по вашим данным, складываются в сфере информационной безопасности в последнее время? Бизнес-среда становится более агрессивной и подозрительной или, напротив, более доверительной и открытой?

Алексей Шиндин: Согласно результатам десятого международного исследования в области информационной безопасности за 2007 год, проведенного Ernst & Young, в настоящее время повысилась степень интеграции информационной безопасности в общую структуру управления рисками. Четыре из пяти респондентов (82% компаний по сравнению с 43% в прошлом году) подтверждают, что в их компаниях присутствует интеграция на том или ином уровне. С прошлого года количество организаций, в которых аспекты информационной безопасности полностью интегрированы в структуру управления рисками, выросло почти вдвое (с 15% до 29%).

Приведение системы информационной безопасности в соответствие с бизнес-целями становится все более важной задачей для компаний. Согласно нашим прогнозам, интеграция будет усиливаться по мере влияния внешних и внутренних угроз на результаты деятельности, бренд и репутацию компании.

Международное исследование в области информационной безопасности проводилось среди клиентов аудиторской и консультационной практики Ernst & Young более чем в 50 странах. В исследовании приняли участие примерно 1300 компаний, представляющих все крупнейшие отрасли.

РБК: То есть, компании стали больше опасаться информационных рисков. Но чрезмерное усиление мер безопасности зачастую входит в конфликт с оновной деятельностью компании и делает механизм принятия решений более неповоротливым. Понимают ли это компании?

А.Ш.: Да, безусловно. При том, что в целом руководство компаний уделяет в настоящее время все большее внимание вопросам информационной безопасности, многие организации по-прежнему сталкиваются с проблемой обеспечения баланса между традиционными мероприятиями по управлению рисками и растущей потребностью решения задач, направленных на повышение эффективности деятельности организации.

Компаниям необходимо точно определить такой баланс: обеспечить, с одной стороны, адекватный уровень защиты, с другой – доступ и функциональность, позволяющие повысить эффективность деятельности. Для достижения этой цели вопросы информационной безопасности должны решаться в совокупности с задачами оперативного управления компанией и учитываться в процессе принятия руководством стратегических решений.

РБК: Информационная безопасность требует значительных затрат. Насколько они оправданы?

А.Ш.: За прошедшие годы преимущества информационной безопасности стали более очевидными, этот факт признают и руководители компаний. Информационная безопасность теперь трактуется шире: как ориентированная не исключительно на управление рисками, а на эффективность деятельности с учетом рисков.

Благодаря информационной безопасности организации получают дополнительные преимущества для бизнеса: лучше обеспечивают соответствие нормативным требованиям, а также повышают эффективность в области ИТ и операционной деятельности.

Обеспечение соответствия нормативным требованиям является основным движущим фактором совершенствования информационной безопасности для большинства участников того же исследования (64%), при этом на втором месте находятся вопросы обеспечения конфиденциальности и защиты персональных данных (58%).

РБК: С какими проблемами обычно сталкиваются службы информационной безопасности в компаниях?

А.Ш.: Несмотря на наметившуюся тенденцию привлечения службы информационной безопасности к работе на ранних этапах, в большинстве организаций службы информационной безопасности по-прежнему не работают в тесном контакте с высшим руководством и не участвуют в принятии стратегически важных решений.

Мы проводим международные исследования в области информационной безопасности на протяжении десяти лет. Вывод очевиден: руководители компаний до сих пор не относятся к вопросам информационной безопасности с должной серьезностью. Согласно результатам первого исследования, специалисты по информационной безопасности были обеспокоены главным образом отсутствием полной поддержки со стороны руководства. Результаты настоящего опроса свидетельствуют: 32% опрошенных ни разу не участвовали во встречах с членами совета директоров или комитета по аудиту, еще 20% не встречаются с руководителями отделов в своих компаниях.

Аспекты информационной безопасности следует учитывать на самых ранних этапах процесса принятия стратегических решений в компаниях. Это позволит организациям выявлять и решать вопросы, которые могут повлиять на достижение бизнес-целей.

Службам информационной безопасности необходимо задействовать деловые связи, наработанные в рамках мероприятий по обеспечению соответствия нормативным требованиям, чтобы повысить значимость информационной безопасности и активно участвовать в процессе стратегического планирования.

РБК: Назовите наиболее характерные информационные риски.

А.Ш.: По мере построения и развития отношений с третьими лицами (глобальный аутсорсинг) возрастает угроза рисков нарушения конфиденциальности информации (данные о сотрудниках и клиентах).

Все больше организаций требуют от представителей третьих сторон соблюдения корпоративных правил, процедур и стандартов. Компании должны осознавать угрозу рисков, связанных с действиями третьих сторон, и внедрять официальные и единообразные процедуры управления такими рисками.

Помимо этого, компаниям необходимо постоянно отслеживать и оценивать уровень информационной безопасности организации, проводя самостоятельную оценку, внутренние и внешние аудиторские проверки, а также сравнительный анализ.

РБК: Что, по вашему мнению, является основной сложностью при реализации проектов в области информационной безопасности?

А.Ш.: Основная сложность при реализации проектов в области информационной безопасности – дефицит квалифицированных и подготовленных специалистов в области информационных технологий и информационной безопасности.

Организациям необходимо определить приоритетность результатов, которые могут быть достигнуты с использованием ограниченных ресурсов, и/или привлекать третьи лица для устранения слабых мест в процессе управления бизнес-рисками, а также улучшения работы по направлениям, где требуется узкоспециальная техническая квалификация.

РБК: На чем организациям следует сосредоточить свое внимание в процессе развития системы информационной безопасности?

А.Ш.: Необходимо рассматривать систему информационной безопасности в контексте повышения эффективности деятельности: в качестве неотъемлемой составляющей общекорпоративного процесса принятия стратегически важных решений.

Следует продолжать проведение мероприятий, направленных на интеграцию системы информационной безопасности в общую структуру управления рисками организации, не упуская при этом из виду решение оперативных вопросов в области информационной безопасности.

Кроме того, нужно расширять объем мероприятий по обеспечению соответствия нормативным требованиям с целью увеличения функциональных возможностей организации и разработки обоснованной программы соблюдения нормативных требований.

Большое значение имеет также выявление и управление рисками, связанными с действиями третьих сторон, путем выполнения официально закрепленных и единообразных процедур, постоянный мониторинг и оценка уровня информационной безопасности организации посредством проведения самостоятельной оценки, внутренних и внешних аудиторских проверок, а также сравнительного анализа. Полезно также изучить альтернативные варианты комплектования службы информационной безопасности с целью решения растущей проблемы поиска опытных и обученных кадров.

Источник: http://www.rbc.ru/


Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

28ноября

На конференции в Ереване ЭОС представил ECM-решение e-gorts, локализация EOS for SharePoint для Армении

Узнать больше

15ноября

ЭОС - участник форума «Искусственный интеллект, большие данные, отечественный софт: национальная стратегия»

Узнать больше

26октября

Важнейшее IT-событие октября - конференция «Осенний документооборот»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ