Исследование IT PCG выявило значительный потенциал экономии, связанный с информационной безопасностью и аудиторскими проверками

Исследование IT PCG выявило значительный потенциал экономии, связанный с информационной безопасностью и аудиторскими проверками

Организация IT Policy Compliance Group (IT PCG) объявила о выпуске своего очередного аналитического отчета «Финансирование информационной безопасности и ИТ с учетом риска» (Risk-based Performance Budgeting for Information Security and Audit in IT). Исследование, основанное на опросе более чем 2600 фирм, показало, что 68% из них недофинансируют информационную безопасность с учетом финансовых рисков и потерь. В то же время последовательное увеличение средств, выделяемых на внедрение практических рекомендаций, приводит для средней организации к финансовому результату в размере от 200% до более чем 100 000% от вложенных инвестиций. 


Исследование, спонсируемое организациями Computer Security Institute, The Institute of Internal Auditors, Protiviti, ISACA, IT Governance Institute и Symantec, предлагает подход к финансированию информационной безопасности с учетом рисков, который дает ощутимые результаты; практические рекомендации, помогающие управлять деловыми и финансовыми рисками, связанными с использованием ИТ; и существенную экономию расходов на аудит в сфере ИТ. 


«Все организации хотят гарантировать некоторый минимальный уровень финансовых потерь, возможные утечки информации о клиентах или определенное минимальное время простоев из-за неполадок в ИТ-системах, подобно франшизе (нестрахуемому минимуму) в страховании, — комментирует управляющий директор IT PCG и руководитель научных исследований Symantec Джим Харли (Jim Hurley). — Однако исследование показывает, что защита организаций от потерь находится на очень низком уровне, а усовершенствования, даже самые мелкие, дают чрезвычайно высокие финансовые результаты». 


Главные бизнес-риски


Значительно выше других возможных рисков фирмы оценивают три бизнес-риска от ИТ: риск утечки конфиденциальной информации; риск нарушения целостности информации и риск недоступности ИТ-сервисов. В отчете IT PCG используются результаты регулярных измерений показателей фирм по этим трем источникам риска. Эти результаты можно классифицировать следующим образом:


Наихудшие показатели: 19% фирм каждый год имеют свыше 15 инцидентов потери или кражи данных, 80 или более часов простоев из-за отказа ИТ-систем и обнаруживают свыше 15 недостатков при аудиторских проверках. 
Нормативные показатели: 68% фирм работают с «нормальными» уровнями потерь, переживая в год от 3 до 15 инцидентов потери или кражи данных, 7-79 часов простоев из-за отказа ИТ-систем и обнаруживая от 3 до 15 недостатков при аудиторских проверках. 


Лучшие показатели: 13% фирм достигают наилучших результатов, испытывая в год менее 3 инцидентов потери или кражи данных, менее 7 часов простоев из-за отказа ИТ-систем и обнаруживая менее 3 недостатков при аудиторских проверках. Эти организации получают экономический эффект в размере от 22% до более чем 3000% в год. 
Как это ни удивительно, разница в показателях между наихудшими и наилучшими организациями не зависит от размера бюджета безопасности. Фактически, эта разница в размерах бюджетов пренебрежимо мала. Важно то, как эти бюджеты используются. 


Финансовые последствия


Финансовые последствия этих рисков, как оказалось, почти целиком зависят от практики управления их влиянием, применяемой ИТ-подразделением. Не удивительно, что фирмы, применяющие практические рекомендации, испытывают меньше финансовых потерь, и у них эти потери минимальны. Фирмы с наихудшими условиями расплачиваются за это потерей и утечкой данных, эквивалентной 9,6% годового дохода, а простои обходятся им почти в 3% годового дохода. 
Среди организаций с доходом $5 млрд совокупный убыток от потери или утечки данных и простоев лежит в интервале от $329 млн для фирм с наихудшей практикой до $2,25 млн для фирм, применяющих практические рекомендации — в 149 раз меньше. 


Исследование обнаружило, что фирмы с наилучшими результатами теряют на выплаты и расходы, связанные с аудиторскими проверками, на 35%-52% меньше. Для таких фирм регулирование количества средств, выделяемых на меры по снижению риска, потерь и расходов на аудиторские проверки, может принести финансовый эффект, на 1000%-500 000% превышающий те потери, с которыми организация готова смириться.


Снижение рисков и сокращение расходов


«Фирмы могут либо дожидаться экстренной ситуации, которая вынудит их пересмотреть приоритеты, либо решить, что в их интересах внедрить эти проверенные отраслевые стандарты», — говорит Харли. 


В новом отчете приводятся следующие пять рекомендаций, используемых организациями с наилучшими результатами и минимальными финансовыми потерями:


1. Привлечение высшего руководства к управлению риском
2. Расстановка приоритетов, совершенствование средств контроля и автоматизация процедур по снижению рисков
3. Непрерывная оценка средств контроля и рисков
4. Применение технических средств контроля, правил и управления изменениями в ИТ-системах
5. Исчерпывающая отчетность


Цитаты руководителей организаций-членов IT PCG


«Этот отчет – наглядная демонстрация выгод, которые организации могут получить от эффективного управления безопасностью, надежностью и другими связанными с ИТ бизнес-рисками, — говорит член рабочей группы ИТ-рисков Института управления ИТ (IT Governance Institute) Брайан Барнье (Brian Barnier). — Практические рекомендации, такие как бесплатно загружаемая система COBIT, могут помочь организациям принять конкретные меры для снижения риска и достижения максимальных экономических выгод». 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Тест Softline: Яндекс Браузер выявил 85 из 100 фишинговых сайтов

Эксперты ГК Softline провели ежегодное исследование, чтобы проверить, насколько хорошо популярные браузеры распознают фишинговые сайты — страницы, с помощью которых злоумышленники крадут личные данные пользователей. В тесте участвовали Chrome, Яндекс Браузер, Firefox, Opera, Edge, Safari на iOS, а также предустановленные Samsung Internet и Mi Browser на Android.

Согласно результатам проверки, Яндекс Браузер оказался самым эффективным: десктопная версия обнаружила 85 из 100 мошеннических сайтов, а мобильная — более 75.

Для сравнения, Chrome с антифишинговым расширением на десктопе выявил 44 угрозы, а без него — всего 8. Остальные браузеры показали следующие результаты:

  • Safari — 9 выявленных страниц,
  • Firefox — 8,
  • Opera — 6,
  • Edge — 5.

На платформах Android показатели оказались самыми низкими: Mi Browser определил два фишинговых сайта, а Samsung Internet — всего один. При этом браузеры на iOS продемонстрировали заметное улучшение по сравнению с прошлым годом.

Как проводилось исследование

Тестирование проходило в условиях, максимально приближенных к реальным. На смартфонах использовались физические устройства, а не эмуляторы. В основу легла выборка из 100 актуальных фишинговых страниц, предоставленных сервисом CyberDef от Infosecurity. Сайты с невалидными сертификатами исключались, чтобы результаты не искажались.

Особое внимание уделялось скорости реакции браузеров. Эксперты отправляли на проверку новые фишинговые сайты в течение нескольких часов после их обнаружения — ведь такие страницы живут недолго и часто исчезают уже в первый день.

Кого чаще всего подделывают

Почти половина (46%) фишинговых сайтов имитировала банки и инвестиционные платформы, ещё 13% — страницы соцсетей и мессенджеров, а 12% — опросы и голосования.

По словам специалистов, злоумышленники активно эксплуатируют известные бренды и актуальные темы вроде искусственного интеллекта и криптовалют, а схемы становятся всё сложнее.

«Сегодня мошеннические кампании часто состоят из нескольких этапов: сначала пользователя заманивают под видом розыгрыша или курса, а потом под предлогом оплаты или подтверждения выманивают деньги и данные. Чтобы казаться надёжными, такие сайты нередко показывают фейковые уведомления о “защищённом соединении”», — отмечают эксперты Softline.

Что используют браузеры для защиты

Современные браузеры применяют разные технологии против фишинга. Например, Safe Browsing в Chrome, SmartScreen в Edge и нейросетевые фильтры в Яндекс Браузере.

В отличие от старых систем, которые полагались на «чёрные списки» сайтов, новые механизмы анализируют содержимое страницы в момент загрузки, что помогает быстрее реагировать на появление фальшивых ресурсов.

Главный вывод исследования: даже при развитии встроенных технологий защиты пользователям стоит оставаться внимательными и не вводить личные данные на сомнительных сайтах, особенно если ссылка пришла в сообщении или письме.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru