Более 60% среднего и крупного бизнеса в России не имеют стандартов информационной безопасности, а каждая третья организация вообще не тестирует киберзащиту. Основные причины — ограниченные ресурсы, иллюзия защищённости и отсутствие внутренних договорённостей между ИТ-специалистами и ТОП-менеджментом.
Каждая третья компания не проводит аудит кибербезопасности
По данным исследования Positive Technologies, лишь 20% компаний внедрили собственные стандарты информационной безопасности, и не ограничились формальным прохождением аудита у регуляторов. Ещё у 15% организаций есть задокументированные сценарии реагирования на инциденты, которые регулярно тестируются и совершенствуются.
Лишь четыре из десяти компаний проводят тестирование своих систем на наличие уязвимостей не реже одного раза в месяц, тогда как примерно треть организаций вообще не занимается проверкой защиты от кибератак.
Зрелость компаний и наличие ресурсов
Во многих организациях основное внимание в кибербезопасности уделяется техническим мерам – внедрению средств защиты информации, систем мониторинга, контроля доступа и других решений. При этом сами процессы и их формализация во внутренних документах отходят на второй план. Это приводит к тому, что практические знания остаются на уровне отдельных сотрудников, а не компании в целом.
Эффективность стандартов кибербезопасности на практике может быть различной. Она зависит от того, насколько стандарты грамотно настроены, администрируются и используются сотрудниками. Если регламенты игнорируются, возрастают риски, связанные, как с ошибками сотрудников, так и с действиями злоумышленников. Общий уровень защищенности инфраструктуры снижается.
Нередко стандарты разрабатываются ради формальности для выполнения требований регуляторов, в реальности остаются оторванными от реального положения безопасности. Чтобы стандарты действительно работали, они должны включать не только общие требования, но и описание процессов, распределение ролей и ответственных, порядок управления доступом, рисками, реагирования на киберинциденты, контроля измерений, обучения сотрудников и эффективности мер защиты.
Иллюзия защищённости
Ложное ощущение защищённости может давать иллюзия того, что новое программное обеспечение способно решить проблему безопасности. Однако на самом деле ПО лишь автоматизирует процессы, а стандарты безопасности направлены на быстрое и качественное реагирование на инциденты. Они включают в себя все стадии от предотвращения и выявления до минимизации ущерба и восстановления.
При этом качественная оценка киберрисков позволяет сфокусировать усилия на защите действительно важных для компании активов, а не распыляться на всё и сразу. Даже у крупных организаций можно сформулировать около пяти стратегических киберриска, которые на самом деле влияют на его деятельность и устойчивость. И, оттолкнувшись от этого, построить по-настоящему бизнес-ориентированную защиту.
Что важно для компаний в киберзащите?
Развитие информационной безопасности происходит постепенно. Сначала организации внедряют базовые стандарты, средства защиты информации и инструменты мониторинга, а затем переходят к разработке сценариев действий при инцидентах и планов восстановления.
При этом сегодня логичнее встраивать эти процессы параллельно: не только внедрять средства защиты, но и заранее понимать, как компания будет действовать в случае киберинцидента.