16+
ComputerPrice
НА ГЛАВНУЮ СТАТЬИ НОВОСТИ О НАС




Яндекс цитирования


Версия для печати

Модуль поиска не установлен.

Исследование IBM обнаруживает значительное изменение роли директоров по информационной безопасности во всем мире

18.05.2012

Компания IBM

Анализ результатов опроса более 130 респондентов говорит о появлении среди директоров по информационной безопасности (CISO) новой, более влиятельной категории руководителей.

Новое исследование IBM показывает отчетливую эволюцию корпоративных служб информационной безопасности и их руководителей: происходит переход от исполнения функций технической поддержки к стратегическому управлению бизнесом - несмотря на то, что в настоящее время лишь один из четырех опрошенных директоров по ИБ играет стратегическую роль в своей компании.

В рамках первого исследования роли CISO центр IBM Center for Applied Insights опросил свыше 130 директоров по информационной безопасности и выявил три типа руководителей этой категории с точки зрения готовности к устранению уязвимостей защиты, а также общего уровня развития корпоративной системы безопасности. Тип директора по ИТ-безопасности, получивший название "Influencer" и представленный почти четвертой частью всех респондентов, характеризуется непосредственным влиянием на бизнес-стратегию компании. Руководители этой категории, как правило, показывали себя более уверенными и подготовленными, чем их коллеги, отнесенные к типам "Protector" (занимаются исключительно техническими и организационными вопросами информационной защиты) и "Responder" (несут ответственность за ИТ-безопасность, но не имеют влияния на принятие решений).

Сегодня всем директорам корпоративных служб безопасности приходится решать сложнейшую задачу по защите наиболее ценных активов компании - денег, данных о клиентах, интеллектуальной собственности и бренда. Почти две трети опрошенных CISO заявили о том, что за последние два года внимание к вопросам ИБ выросло: серии широкомасштабных атак и утечек конфиденциальной информации убеждают высший менеджмент компаний в ключевой роли безопасности на современном предприятии. Более половины респондентов сочли обеспечение мобильной безопасности самой приоритетной технической задачей в ближайшие два года. Почти две трети ожидают увеличения расходов на информационную безопасность в следующие два года, а 87% из них предполагают, что это рост будет выражаться двузначными цифрами.

Если раньше задача CISO заключалась в реагировании на случаи нарушения безопасности, то сегодня роль директора по безопасности меняется в направлении более разумного и всестороннего управления рисками - от "тушения пожаров" к их предотвращению. CISO, отнесенных к категории "Influencer" и отличающихся участием в стратегическом управлении, выделяют следующие характеристики:

  • Безопасность рассматривается как необходимое для бизнеса (а не только и не столько для технологий) условие, - Одной из главных особенностей лидирующих компаний является внимание ее руководителей и совета директоров к вопросам ИБ. Безопасность в таких организациях является не случайной темой совещаний, а их неотъемлемой частью, и во все большей степени становится элементом корпоративной культуры. Так, 60% организаций из числа передовых сообщили, что вопросы безопасности обсуждаются их советами директоров на постоянной основе - в сравнении с лишь 22% из группы менее "продвинутых" в информационной защите организаций. Прогрессивные руководители осознают необходимость более полной информированности о рисках, и поэтому они гораздо больше сконцентрированы на образовательных инициативах, взаимодействии и распространении сведений об ИБ в масштабе предприятия. Дальновидные службы информационной безопасности нередко выступают за создание специального комитета по управлению безопасностью для реализации системного подхода к вопросам ИБ, охватывающего правовые и финансовые аспекты, бизнес-операции и кадровые ресурсы предприятия. В 68% из опрошенных передовых организаций уже действуют подобные комитеты по управлению рисками - в сравнении с 26% из группы менее развитых в вопросах безопасности компаний.
  • Оценка достигнутых результатов и принятие решений на основе данных - Как показало исследование, 59% опрошенных компаний из категории лидирующих (по сравнению с 26% из группы менее продвинутых организаций) используют типовые системы показателей для анализа эффективности мер по укреплению информационной безопасности. Более продвинутую в отношении рисков ИБ культуру могут помочь сформировать отслеживание уровня осведомленности и компетентности персонала, его способности справляться с будущими угрозами, а также интеграция новых технологий. Наряду с этим, автоматизированный мониторинг стандартизованных показателей позволяет CISO сосредоточиться на более общих системных рисках.
  • Разделение бюджетной ответственности с руководителями высшего звена - Исследование показало, что в большинстве организаций бюджет службы информационной безопасности обычно контролируют главные директора по информационным технологиям (CIO). Однако в организациях с самым высоким рейтингом успешности управление инвестициями чаще осуществляется при участии бизнес-руководителей. В наиболее передовых организациях главные исполнительные директора (CEO) в точно такой же степени занимаются вопросами бюджета службы информационной безопасности, как и ИТ-директора. У менее прогрессивных организаций зачастую вообще отсутствует источник финансирования ИБ в виде отдельной статьи бюджета, что свидетельствует о менее дальновидном, фрагментарном подходе к обеспечению безопасности. Согласно результатам исследования, у 71% опрошенных лидирующих организаций (по сравнению с 27% из группы менее прогрессивных организаций) есть отдельная статья бюджета на поддержку информационной безопасности.

"Результаты исследования свидетельствуют о появлении нового класса CISO, которые участвуют в разработке стратегии компании, добиваясь упреждающего и комплексного подхода к вопросам информационной безопасности, - подчеркнул Дэвид Джарвис (David Jarvis), автор отчета об исследовании и старший консультант IBM Center for Applied Insights. - Мы видим, что образ CISO постепенно приобретает свою функциональную завершенность, как это было с ролью CFO в 1970-х и CIO в 1980-х годах - спектр выполняемых ими задач включает все больше стратегических, а не технических вопросов. Эти изменения говорят о том, насколько для различных компаний возросла важность ИТ-безопасности".

Security profiles

Security profiles

Профили безопасности

Structure and management

Структура и руководство

Organizational reach

Организационный охват

Measurement

Оценка состояния и достижений

Dedicated CISO

Выделенный директор по ИТ-безопасности (CISO)

Security/risk committee

Комитет по безопасности/рискам

Budget line item

Выделенная статья бюджета

Budget authority

Бюджетные полномочия

Increased leadership attention

Возросшее внимание руководства

Regular board topic

Регулярная тема на заседаниях совета директоров

Primary focus over next two years

Первоочередная задача на ближайшие два года

Stardardized metrics

Стандартизованные показатели

IT VP/Director/Manager

Вице-президент/Директор/Менеджер по ИТ

New security technology

Новые технологии безопасности

Updating business processes

Обновление бизнес-процессов

Employee education

Обучение персонала

Communications/Collaboration

Коммуникационные возможности / Взаимодействие и сотрудничество

Рекомендации по развитию стратегической роли руководителя по ИБ на предприятии

Создание более надежной и действенной системы информационной безопасности, по мнению IBM, невозможно без формирования CISO плана действий, соответствующего текущим возможностям и направленного на решение самых насущных задач. Отчет предлагает основанные на результатах исследования рекомендации по обеспечению развития корпоративной системы ИБ на основе текущего уровня ее развития.

Например, участники исследования, отнесенные к категории "Responder", могут выйти за рамки тактических задач, создав отдельную должность и функцию руководителя по информационной безопасности (наподобие CISO), собрав комитет по безопасности и рискам, оценивая достигнутые успехи в укреплении безопасности, а также автоматизируя рутинные операции по поддержке безопасности, чтобы выделить больше времени и ресурсов для внедрения инноваций в области безопасности.

"Обеспечение безопасности в современном мире цифровых коммуникаций связано с рядом новых проблем, но их решение может быть существенно упрощено благодаря внедрению инновационных методов и реализации более комплексного и всестороннего подхода, - отметил Марк ван Задельхоф (Marc van Zadelhoff), автор отчета и вице-президент подразделения IBM Security Systems по стратегии. - CISO, уделяющие этим вопросам больше внимания, могут значительно повысить эффективность бизнес-процессов и достичь ощутимых успехов в создании информированной, гибкой и хорошо подготовленной к будущим угрозам корпоративной культуры".



статьи
статьи
 / 
новости
новости
 / 
контакты
контакты