Опрос говорит: сложные продукты ИТ-безопасности ставят компании под угрозу
Эдвард Сноуден принес инсайдерские угрозы в основные СМИ. Взломы Target и Home Depot повысили осведомленность общественности о нарушениях данных. Сейчас все больше и больше организаций ищут новые типы решений для кибербезопасности, чтобы не стать следующим заголовком взлома данных.
Но действительно ли эти решения по обеспечению безопасности обеспечивают то, что было обещано? И получают ли IT-магазины максимальную выгоду от них?
Чтобы выяснить это, мы провели анонимный опрос специалистов по информационной безопасности на конференции RSA 2015. Ответы оказались мрачнее, чем мы ожидали.
69 процентов респондентов заявили, что они не используют свои продукты ИТ-безопасности в полной мере. 71% из этой группы считают, что это подвергает риску их компанию, а возможно, и клиентов и партнеров.
Мы немного углубились в детали и спросили респондентов, почему они думают, что не получают максимальную отдачу от своих решений в области безопасности. Мы узнали, что 62 процента либо сочли продукты слишком сложными для развертывания, слишком трудоемкими для развертывания, либо не думали, что у них есть опыт персонала для их правильного развертывания.
Продукты информационной безопасности как защита Cyber Warfare
Ситуация, по-видимому, такова, что организации ищут новые решения в области информационной безопасности, которые могут защитить от последних изменений в атаках нулевого дня и других современных киберугрозах. Однако сотрудники службы безопасности во многих из этих организаций часто слишком поздно обнаруживают, что приобретаемые ими продукты не могут масштабироваться в крупных корпоративных средах или развертываться достаточно быстро для обеспечения активной защиты. Это оставляет затронутым организациям такой же риск, как и до покупки их новых продуктов.
Текущее состояние информационной безопасности представляет собой сценарий кибервойны, в котором организации подвергаются постоянным кибератакам. Чтобы быть эффективным в этой среде кибервойны, решение для обеспечения безопасности должно иметь масштабируемость на предприятии, быстро развертываться, не требуя дорогостоящих или отнимающих много времени профессиональных услуг, и работать автоматически и непрерывно — без непосредственного взаимодействия с человеком.
Соответствие не означает безопасность
Из другой линии опроса в опросе мы обнаружили, что 61 процент респондентов работают на работодателя, который в какой-то момент развернул продукт безопасности исключительно для достижения соответствия нормативным требованиям, а не для повышения безопасности.
Это не удивительно. Нормативные требования соответствия определяют многие реализации продуктов безопасности. Но довольно много организаций, похоже, попадают в ловушку «соответствие требованиям безопасности». Развертывание продукта только для удовлетворения требований аудитора может помочь с соблюдением нормативных требований. Но это не делает ничего, чтобы уменьшить реальные угрозы безопасности. Несмотря на нормативные полномочия, которым подвержены многие корпорации и правительственные учреждения, утечки данных, по-видимому, возрастают.
Возможно, можно провести корреляцию между организациями, которые не думают, что они получают максимальную отдачу от своих решений в области ИТ-безопасности, и организациями, которые разворачивают продукты безопасности просто для удовлетворения потребностей аудиторов. Подобно тому, как продукты, которые не могут быть легко и быстро развернуты на предприятии, не дают никаких преимуществ в плане безопасности, для достижения реальной ИТ-безопасности есть нечто большее, чем заполнение опроса аудитора и установка нескольких флажков.
Настоящая кибербезопасность требует постоянного измерения и исправления перед лицом непрекращающихся киберугроз, которые просто не могут предвидеть нормативные требования.