Показано с 1 по 1 из 1.

Уровень развития систем ИТ-безопасности не связан с размером организации

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,781
    Вес репутации
    140

    Уровень развития систем ИТ-безопасности не связан с размером организации



    Компания RSA, опубликовала первые результаты исследования Cybersecurity Poverty Index, который объединяет результаты опроса более чем 400 специалистов по ИТ-безопасности из 61 страны. Участники исследования самостоятельно оценивали зрелость систем ИТ-безопасности своих организаций в соответствии с набором стандартов NIST Cybersecurity Framework (CSF). Хотя обычно считается, что крупные организации располагают необходимыми ресурсами для создания более надежной системы киберзащиты, результаты исследования показывают, что размер организации не коррелирует с уровнем организации системы ИТ-безопасности: почти 75% всех респондентов оценили свой уровень безопасности как недостаточный. Недостаточное развитие систем ИТ-защиты, в целом, не вызывает удивления, так как многие опрошенные организации сообщили о том, что в течение последних 12 месяцев сталкивались с инцидентами, приведшими к потере данных или нарушению работы. Исследование показало, что самые высокие уровни развития ИТ-систем наблюдаются в области «Защита». Результаты исследования показывают, что для организаций основной стратегией обеспечения ИТ-безопасности являются превентивные решения, несмотря на широко распространенное понимание того, что одних превентивных мер недостаточно для защиты от сложных современных атак. Кроме того, самым слабым местом организаций, участвовавших в опросе, оказалась способность измерять и оценивать риски ИТ-безопасности и смягчать их последствия: 45% опрошенных организаций говорят о недостатке собственных возможностей в этой сфере, и только 21% считают, что имеют системный подход к обеспечению безопасности. Такое положение усложняет приоритезацию при выборе решений по безопасности. А ведь именно эту основополагающую задачу должна решить любая организация, стремящаяся улучшить свою ИТ-безопасность. Вопреки ожиданиям, исследование показало, что уровень развития системы безопасности не связан напрямую с размером организации. Оказалось, что 83% опрошенных организаций со штатом более 10 тысяч сотрудников оценили свои возможности ниже уровня «Развитые». Понимание невысокого уровня развития ИТ-систем должно стимулировать переход от стратегий реагирования на уже существующие угрозы к стратегиям создания более надежной и зрелой системы безопасности в целом. Также неожиданными оказались результаты для организаций из сектора финансовых услуг, который часто лидирует среди отраслей по уровню организации ИТ-систем. Вопреки расхожим представлениям, опрошенные финансовые организации не продемонстрировали высокого уровня организации ИТ, так как всего треть из них оказались достаточно подготовленными к обеспечению безопасности. Операторы критически важных инфраструктур, целевая аудитория CSF, должны совершить важные шаги, чтобы повысить текущий уровень ИТ-организации. Телекоммуникационные компании сообщили о самом высоком уровне ИТ-развития — 50% респондентов имеют «Развитые» или «Выдающиеся» возможности, в то время как государственные учреждения имеют самую низкую оценку по отраслям в данном случае — только 18% респондентов соответствуют уровню «Развитые» или «Выдающиеся». Стандарт CSF первоначально был разработан в США, результаты исследования показывают, что по уровню развития этих систем Северная и Южная Америка уступают регионам APJ и EMEA. Организации в регионе APJ сообщают о самых совершенных стратегиях безопасности: 39% оценивают их в целом как «Развитые» или «Выдающиеся», в то время как такую оценку дали своим возможностям в регионе EMEA 26% организаций, а в Северной и Южной Америке — только 24% организаций. Методология Чтобы оценить совершенство средств кибербезопасности своих организаций, респонденты сравнивали ее со стандартом NIST Cybersecurity Framework (CSF). CSF предоставляет рекомендации по снижению ИТ-рисков, которые базируются на существующих стандартах, инструкциях и практиках. Эти рекомендации стали результатом совместной работы представителей отрасли и государственных органов. Хотя стандарт CSF первоначально был разработан в США с целью снижения рисков для критически важной инфраструктуры, организации во всем мире оценили его какприоритетный, гибкий, воспроизводимый и экономичный подход к управлению ИТ-рисками. Таким образом, CSF служит отличным базовым средством для оценки совершенства основных средств обеспечении кибербезопасности и управления ИТ-рисками в организации. Специалисты по ИТ-безопасности оценивали возможности своих организаций в отношении пяти основных функций, выделенных в стандарте CSF: идентификация, защита, обнаружение, реагирование и восстановление. Оценки проставлялись по пятибалльной шкале, где оценка «1» указывала, что организация не имеет возможностей в данной области, а оценка «5» — что в организации достигла зрелого уровня в данной области. МНЕНИЯ РУКОВОДИТЕЛЕЙ Амит Йоран (Amit Yoran), президент RSA, подразделения безопасности EMC «Это исследование показывает, что предприятия продолжают вкладывать огромные средства в новые брандмауэры, антивирусные и антишпионские программы следующего поколения, надеясь таким образом справиться с современными угрозами. Однако несмотря на инвестиции в эти области даже самые крупные организации не чувствуют себя готовыми к угрозам, с которыми им приходится сталкиваться. Мы считаем, что это противоречие — результат глубокого несоответствия сегодняшних моделей безопасности, основанных на предотвращении, ландшафту современных угроз. Нам нужно изменить свои представления о безопасности, а первый шаг в этом направлении начинается с признания того, что превентивная стратегия изжила себя и больше внимания нужно уделять стратегии, основанной на обнаружении и реагировании». Стивен Т. Уитрок (Stephen T. Whitlock), директор по стратегии и технологиям подразделения Information Security Solutions компании Boeing «Компания Boeing с самого начала поддерживала стандарт NIST Cybersecurity Framework и деятельно участвовала в его создании. Мы используем его как основу оценки общей системы безопасности как наших внутренних подразделений, так и внешних заказчиков. Стандарт CSF предлагает комплексный гибкий подход на основе оценки рисков, который не предполагает ориентации на конкретные технологии или нормативы. С тех пор как мы используем CSF, мы получаем важные результаты, которые помогают нам понять возникающие проблемы и задать направление развития системы кибербезопасности».

    Источник: http://www.anti-malware.ru/news/2015-06-09/16279

  2. Реклама
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 27.03.2014, 22:10
  2. Уровень безопасности ниже, вред для пациентов выше
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 05.12.2011, 17:10
  3. Veracode признала высочайший уровень безопасности Sendmail
    От Синауридзе Александр в разделе Linux
    Ответов: 0
    Последнее сообщение: 25.06.2009, 17:55
  4. Ответов: 0
    Последнее сообщение: 11.02.2007, 23:15
  5. Уровень безопасности операционных систем в 2006 году
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 08.09.2006, 13:05

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01528 seconds with 18 queries