Москва, 19 февраля 2009 г. – Организация IT Policy Compliance Group (IT PCG) объявила о выпуске своего очередного аналитического отчета «Финансирование информационной безопасности и ИТ с учетом риска» (Risk-based Performance Budgeting for Information Security and Audit in IT). Исследование, основанное на опросе более чем 2600 фирм, показало, что 68% из них недофинансируют информационную безопасность с учетом финансовых рисков и потерь. В то же время последовательное увеличение средств, выделяемых на внедрение практических рекомендаций, приводит для средней организации к финансовому результату в размере от 200% до более чем 100 000% от вложенных инвестиций.
Исследование, спонсируемое организациями Computer Security Institute, The Institute of Internal Auditors, Protiviti, ISACA, IT Governance Institute и Symantec, предлагает подход к финансированию информационной безопасности с учетом рисков, который дает ощутимые результаты; практические рекомендации, помогающие управлять деловыми и финансовыми рисками, связанными с использованием ИТ; и существенную экономию расходов на аудит в сфере ИТ.
«Все организации хотят гарантировать некоторый минимальный уровень финансовых потерь, возможные утечки информации о клиентах или определенное минимальное время простоев из-за неполадок в ИТ-системах, подобно франшизе (нестрахуемому минимуму) в страховании, — комментирует управляющий директор IT PCG и руководитель научных исследований Symantec Джим Харли (Jim Hurley). — Однако исследование показывает, что защита организаций от потерь находится на очень низком уровне, а усовершенствования, даже самые мелкие, дают чрезвычайно высокие финансовые результаты».
Главные бизнес-риски
Значительно выше других возможных рисков фирмы оценивают три бизнес-риска от ИТ: риск утечки конфиденциальной информации; риск нарушения целостности информации и риск недоступности ИТ-сервисов. В отчете IT PCG используются результаты регулярных измерений показателей фирм по этим трем источникам риска. Эти результаты можно классифицировать следующим образом:
Наихудшие показатели: 19% фирм каждый год имеют свыше 15 инцидентов потери или кражи данных, 80 или более часов простоев из-за отказа ИТ-систем и обнаруживают свыше 15 недостатков при аудиторских проверках.
Нормативные показатели: 68% фирм работают с «нормальными» уровнями потерь, переживая в год от 3 до 15 инцидентов потери или кражи данных, 7-79 часов простоев из-за отказа ИТ-систем и обнаруживая от 3 до 15 недостатков при аудиторских проверках.
Лучшие показатели: 13% фирм достигают наилучших результатов, испытывая в год менее 3 инцидентов потери или кражи данных, менее 7 часов простоев из-за отказа ИТ-систем и обнаруживая менее 3 недостатков при аудиторских проверках. Эти организации получают экономический эффект в размере от 22% до более чем 3000% в год.
Как это ни удивительно, разница в показателях между наихудшими и наилучшими организациями не зависит от размера бюджета безопасности. Фактически, эта разница в размерах бюджетов пренебрежимо мала. Важно то, как эти бюджеты используются.
Финансовые последствия
Финансовые последствия этих рисков, как оказалось, почти целиком зависят от практики управления их влиянием, применяемой ИТ-подразделением. Не удивительно, что фирмы, применяющие практические рекомендации, испытывают меньше финансовых потерь, и у них эти потери минимальны. Фирмы с наихудшими условиями расплачиваются за это потерей и утечкой данных, эквивалентной 9,6% годового дохода, а простои обходятся им почти в 3% годового дохода.
Среди организаций с доходом $5 млрд совокупный убыток от потери или утечки данных и простоев лежит в интервале от $329 млн для фирм с наихудшей практикой до $2,25 млн для фирм, применяющих практические рекомендации — в 149 раз меньше.
Исследование обнаружило, что фирмы с наилучшими результатами теряют на выплаты и расходы, связанные с аудиторскими проверками, на 35%-52% меньше. Для таких фирм регулирование количества средств, выделяемых на меры по снижению риска, потерь и расходов на аудиторские проверки, может принести финансовый эффект, на 1000%-500 000% превышающий те потери, с которыми организация готова смириться.
Снижение рисков и сокращение расходов
«Фирмы могут либо дожидаться экстренной ситуации, которая вынудит их пересмотреть приоритеты, либо решить, что в их интересах внедрить эти проверенные отраслевые стандарты», — говорит Харли.
В новом отчете приводятся следующие пять рекомендаций, используемых организациями с наилучшими результатами и минимальными финансовыми потерями:
1. Привлечение высшего руководства к управлению риском
2. Расстановка приоритетов, совершенствование средств контроля и автоматизация процедур по снижению рисков
3. Непрерывная оценка средств контроля и рисков
4. Применение технических средств контроля, правил и управления изменениями в ИТ-системах
5. Исчерпывающая отчетность
Цитаты руководителей организаций-членов IT PCG
«Этот отчет – наглядная демонстрация выгод, которые организации могут получить от эффективного управления безопасностью, надежностью и другими связанными с ИТ бизнес-рисками, — говорит член рабочей группы ИТ-рисков Института управления ИТ (IT Governance Institute) Брайан Барнье (Brian Barnier). — Практические рекомендации, такие как бесплатно загружаемая система COBIT, могут помочь организациям принять конкретные меры для снижения риска и достижения максимальных экономических выгод».
Справка об исследовании
Темы, изучаемые IT Policy Compliance Group, входят в план регулярных исследований, сформированный с учетом требований членов организации, мнения членов консультативного совета и результатов предыдущих исследований. Результаты, включенные в настоящий отчет, получены в период с сентября по декабрь 2008 года силами 734 отдельных допущенных организаций. Все 734 организации, участвующие в последних опросах, расположены в Северной Америке, причем большинство из них (95%) – в США. Большинство из более чем 2600 организаций-участниц (90%) расположены в США. Остальные 10% расположены в странах Европы, Латинской Америки, Ближнего Востока, Азии и Азиатско-Тихоокеанского региона.
Справка об IT POLICY COMPLIANCE GROUP
IT Policy Compliance Group занимается проведением исследований и распространением информации, которая помогает организациям достигать своих целей, связанных с соблюдением правил и законодательных норм. Главной задачей IT Policy Compliance Group является оказание помощи организациям-членам по улучшению на основе практических измерений результатов производственной деятельности, руководства, управления рисками и по соблюдению нормативов. В число спонсоров IT Policy Compliance Group входит несколько ведущих организаций, включая Computer Security Institute, The Institute of Internal Auditors, Protiviti, ISACA, IT Governance Institute и Symantec Corporation. Более подробные сведения можно получить по адресу: www.ITPolicyCompliance.com
О корпорации Symantec
Корпорация Symantec — мировой лидер в области решений для обеспечения безопасности, хранения данных и системного управления, которые помогают предприятиям и индивидуальным пользователям защищать свою информацию и управлять ею. Программное обеспечение и услуги корпорации более полно и эффективно защищают от большего числа информационных рисков, позволяя с уверенностью использовать и хранить информацию. Более подробные сведения можно получить по адресу www.symantec.ru
###
ПРИМЕЧАНИЕ ДЛЯ РЕДАКТОРОВ: Если вам потребуется дополнительная информация о Symantec Corporation и ее продуктах, обращайтесь, пожалуйста, на веб-сайт Symantec News Room по адресу: http://www.symantec.com/news. Все цены указаны в долларах США и действуют только в Соединенных Штатах.
Symantec и логотип Symantec — товарные знаки или зарегистрированные товарные знаки Symantec Corporation или ее филиалов в США и других странах. Прочие наименования могут быть товарными знаками соответствующих владельцев.