Компаниям не хватает экспертов по информационной безопасности

По данным исследования, в течение последних 12 месяцев 93% компаний сохранили или нарастили значительный объем инвестиций в информационную безопасность, однако дефицит средств по-прежнему является главной преградой на пути повышения эффективности внутренних служб. 31% опрошенных компаний сообщил, что за последние 12 месяцев количество нарушений информационной безопасности выросло как минимум на 5%. Многие уже осознали масштаб и глубину новой угрозы, которая нависла над ними, и сегодня вопросы информационной безопасности находятся под личным контролем руководства в 70% организаций.

По наблюдениям экспертов, дефицит талантливых специалистов не позволяет компаниям развернуть борьбу против хакеров на должном уровне, особенно в Европе. "Данная тенденция характерна и для России и стран СНГ. Стремительное развитие и использование новых технологий и решений, более сложных с точки зрения обеспечения комплексной безопасности, лишь усугубляет проблему нехватки кадров", - отметил руководитель направления по предоставлению услуг в области управления информационными технологиями и ИТ-рисками EY Николай Самодаев.

"Компаниям следует работать на предупреждение, при этом инициатива должна исходить сверху, - убежден руководитель международного центра EY по управлению ИТ-рисками Пол ван Кессел. - Необходимо уделять повышенное внимание информированию персонала и выделять больше денежных средств и других ресурсов на внедрение инновационных решений в сфере безопасности. Технологии будут развиваться все более ускоренными темпами, а с ними будет расти и количество хакерских атак. Это означает, что отсутствие должного внимания к проблеме будет только играть на руку хакерам и может поставить дальнейшее существование компании под угрозу".

Эксперты убеждены, что залог успешного создания системы информационной защиты в ее комплексности и последовательности действия специалистов профильного подразделения. "На начальном этапе требуется провести аудит инфраструктуры, выявить активы, которые нужно защищать в первую очередь, создать карту рисков и понять, кто из персонала может быть потенциальным нарушителем. Второй этап - непосредственное внедрение ИТ-решений, которые обеспечивают не только конфиденциальность данных, защиту от утечки, но и доступность информации. Сотрудники должны иметь возможность получать из информационных систем нужные для работы сведения в любой момент времени. При реализации подобных систем следует ориентироваться на стандарты в области ИТ, например, на стандарт ISO/IEC 27001:2005. Это позволяет не придумывать колесо, а использовать наработанные практики из лучшего мирового опыта", - посоветовал руководитель направления информационной безопасности компании КРОК Михаил Башлыков.

"Выбор интегрированных решений, как правило, обеспечивает высокий уровень защиты и приносит меньше проблем и простоев в работу уже существующей инфраструктуры. Ведь сегодня хакеры стали умнее и не используют какой-то один тип атак. Они применяют комплексные каскадные атаки - целый набор изощренных технологий и методов взлома. Поэтому каждая организация сегодня должна ясно понимать, что многоуровневые атаки требуют такой же многоуровневой защиты", - отметила консультант по безопасности Check Point Software Technologies Виктория Носова.

Владимир Вакациенко, технический эксперт RSA, ЕМС Россия и СНГ. RSA, отметил, что в компании обязательно должна быть специализированная служба информационной безопасности, которая бы хорошо понимала специфику бизнеса компании и степень критичности тех или иных ее активов: "Но в процесс обеспечения информационной безопасности должны быть вовлечены все сотрудники компании. Они должны регулярно проходить инструктажи и обучение по вопросам инфобезопасности, а служба инфобезопасности должна обеспечивать контроль их знаний".

Говоря о нехватке специалистов по информационной безопасности, эксперты отметили, что существует несколько путей решения этой проблемы. "Во-первых, можно провести дополнительное обучение сотрудников, благо сегодня существует достаточный выбор профильных учебных центров для начинающих специалистов. Во-вторых, всегда есть возможность привлечь внешних консультантов, которые разработают стратегию и тактику развития инфобезопасности. Существует также третий вариант - аутсорсинг и аутстаффинг. Первая форма подразумевает сопровождение и защиту данных сторонней компаний. Аутстаффинг - пока редкое явление, но перспективное. При нем часть специалистов заказчика работает вне штата, выполняя прежние функции. Это позволяет снизить налоговую нагрузку на компанию и убрать психологические барьеры при передаче части функций по защите инфраструктуры на сторону", - объяснил Михаил Башлыков.