Исследование IT PCG выявило значительный потенциал экономии, связанный с информационной безопасностью и аудиторскими проверками

Организация IT Policy Compliance Group (IT PCG) объявила о выпуске своего очередного аналитического отчета «Финансирование информационной безопасности и ИТ с учетом риска» (Risk-based Performance Budgeting for Information Security and Audit in IT). Исследование, основанное на опросе более чем 2600 фирм, показало, что 68% из них недофинансируют информационную безопасность с учетом финансовых рисков и потерь. В то же время последовательное увеличение средств, выделяемых на внедрение практических рекомендаций, приводит для средней организации к финансовому результату в размере от 200% до более чем 100 000% от вложенных инвестиций. 


Исследование, спонсируемое организациями Computer Security Institute, The Institute of Internal Auditors, Protiviti, ISACA, IT Governance Institute и Symantec, предлагает подход к финансированию информационной безопасности с учетом рисков, который дает ощутимые результаты; практические рекомендации, помогающие управлять деловыми и финансовыми рисками, связанными с использованием ИТ; и существенную экономию расходов на аудит в сфере ИТ. 


«Все организации хотят гарантировать некоторый минимальный уровень финансовых потерь, возможные утечки информации о клиентах или определенное минимальное время простоев из-за неполадок в ИТ-системах, подобно франшизе (нестрахуемому минимуму) в страховании, — комментирует управляющий директор IT PCG и руководитель научных исследований Symantec Джим Харли (Jim Hurley). — Однако исследование показывает, что защита организаций от потерь находится на очень низком уровне, а усовершенствования, даже самые мелкие, дают чрезвычайно высокие финансовые результаты». 


Главные бизнес-риски


Значительно выше других возможных рисков фирмы оценивают три бизнес-риска от ИТ: риск утечки конфиденциальной информации; риск нарушения целостности информации и риск недоступности ИТ-сервисов. В отчете IT PCG используются результаты регулярных измерений показателей фирм по этим трем источникам риска. Эти результаты можно классифицировать следующим образом:


Наихудшие показатели: 19% фирм каждый год имеют свыше 15 инцидентов потери или кражи данных, 80 или более часов простоев из-за отказа ИТ-систем и обнаруживают свыше 15 недостатков при аудиторских проверках. 
Нормативные показатели: 68% фирм работают с «нормальными» уровнями потерь, переживая в год от 3 до 15 инцидентов потери или кражи данных, 7-79 часов простоев из-за отказа ИТ-систем и обнаруживая от 3 до 15 недостатков при аудиторских проверках. 


Лучшие показатели: 13% фирм достигают наилучших результатов, испытывая в год менее 3 инцидентов потери или кражи данных, менее 7 часов простоев из-за отказа ИТ-систем и обнаруживая менее 3 недостатков при аудиторских проверках. Эти организации получают экономический эффект в размере от 22% до более чем 3000% в год. 
Как это ни удивительно, разница в показателях между наихудшими и наилучшими организациями не зависит от размера бюджета безопасности. Фактически, эта разница в размерах бюджетов пренебрежимо мала. Важно то, как эти бюджеты используются. 


Финансовые последствия


Финансовые последствия этих рисков, как оказалось, почти целиком зависят от практики управления их влиянием, применяемой ИТ-подразделением. Не удивительно, что фирмы, применяющие практические рекомендации, испытывают меньше финансовых потерь, и у них эти потери минимальны. Фирмы с наихудшими условиями расплачиваются за это потерей и утечкой данных, эквивалентной 9,6% годового дохода, а простои обходятся им почти в 3% годового дохода. 
Среди организаций с доходом $5 млрд совокупный убыток от потери или утечки данных и простоев лежит в интервале от $329 млн для фирм с наихудшей практикой до $2,25 млн для фирм, применяющих практические рекомендации — в 149 раз меньше. 


Исследование обнаружило, что фирмы с наилучшими результатами теряют на выплаты и расходы, связанные с аудиторскими проверками, на 35%-52% меньше. Для таких фирм регулирование количества средств, выделяемых на меры по снижению риска, потерь и расходов на аудиторские проверки, может принести финансовый эффект, на 1000%-500 000% превышающий те потери, с которыми организация готова смириться.


Снижение рисков и сокращение расходов


«Фирмы могут либо дожидаться экстренной ситуации, которая вынудит их пересмотреть приоритеты, либо решить, что в их интересах внедрить эти проверенные отраслевые стандарты», — говорит Харли. 


В новом отчете приводятся следующие пять рекомендаций, используемых организациями с наилучшими результатами и минимальными финансовыми потерями:


1. Привлечение высшего руководства к управлению риском
2. Расстановка приоритетов, совершенствование средств контроля и автоматизация процедур по снижению рисков
3. Непрерывная оценка средств контроля и рисков
4. Применение технических средств контроля, правил и управления изменениями в ИТ-системах
5. Исчерпывающая отчетность


Цитаты руководителей организаций-членов IT PCG


«Этот отчет – наглядная демонстрация выгод, которые организации могут получить от эффективного управления безопасностью, надежностью и другими связанными с ИТ бизнес-рисками, — говорит член рабочей группы ИТ-рисков Института управления ИТ (IT Governance Institute) Брайан Барнье (Brian Barnier). — Практические рекомендации, такие как бесплатно загружаемая система COBIT, могут помочь организациям принять конкретные меры для снижения риска и достижения максимальных экономических выгод». 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

WhatsApp не удаляет ваши файлы у собеседников, использующих iPhone

Функция WhatsApp, позволяющая удалить ваши сообщения у собеседников, как оказалось, не до конца отрабатывает на iPhone, оставляя отправленные медиафайлы на смартфонах от Apple. Представители мессенджера заявили, что не считают это уязвимостью.

Напомним, что разработчики внедрили возможность удалить отправленное по ошибке сообщение для собеседника два года назад. С тех пор многих пользователей не раз выручала данная функция.

Если вы ошиблись адресатом, WhatsApp даёт вам 1 час 8 минут и 16 секунд на его удаление для всех участников чата.

Однако в случае с iPhone мессенджер не удаляет медиафайлы, сохранённые на смартфоне. Если же участники беседы используют Android, отправленные ошибочно файлы будут удалены с устройства.

Проблему конфиденциальности обнаружил исследователь Шитеш Сачан, консультант в области безопасности приложений.

Баг проявляет себя в том случае, когда у получателя, использующего iPhone, установлены настройки WhatsApp по умолчанию — сохранять принимаемые медиафайлы на устройстве. Стоит отметить, что эти настройки редко кто меняет.

Команда безопасности WhatsApp заявила эксперту, что вышеозначенная функция призвана удалить сообщение в чате. А застраховать от различных нестандартных ситуаций — сохранения файлов вручную, снятия скриншота чата — она не может.

Похожий баг недавно был обнаружен у главного конкурента WhatsApp — Telegram. Оказалось, что получатель мог просмотреть содержимое сообщения даже после его удаления.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru