AKTIV.CONSULTING оценил уровень зрелости информационной безопасности российских компаний

Эксперты бизнес-направления AKTIV.CONSULTING Компании «Актив» представили первый аналитический отчет «Оценка уровня зрелости информационной безопасности». Документ отражает актуальную ситуацию в части обеспечения ИБ, состояние ключевых процессов, а также содержит рекомендации по повышению уровня зрелости функции ИБ в российских компаниях.

Далеко не все российские компании имеют возможность регулярно оценивать уровень зрелости информационной безопасности (далее — ИБ) в силу отсутствия ресурсов и фреймворков. В то же время такая оценка могла бы послужить основой для выявления “уязвимых” мест, обоснования выделения средств для обновления технического парка, найма и мотивации персонала и развития функции ИБ в компании в целом. Именно поэтому эксперты AKTIV.CONSULTING приняли решение провести исследование и отразить актуальную ситуацию в части обеспечения ИБ в отечественных компаниях с целью гармоничного развития это бизнес-функции.

Объектом исследования специалистов AKTIV.CONSULTING стали 52 российских компании с выделенной функцией информационной безопасности, представляющие промышленность, финансовую, ИТ и ИБ отрасли, здравоохранение, строительную индустрию и другие направления.

В основу методологии исследования лег опросник для самооценки, разработанный экспертами AKTIV.CONSULTING, содержащий сто сценариев по пяти направлениям:

1. «Управление ИБ» связано с управление процессами обеспечения информационной безопасностью.
2. «Базовая ИТ- и ИБ-гигиена» касается базовых мер обеспечения ИБ «Обеспечение ИБ» связано с техническим оснащением службы ИБ.
3. «Мониторинг, реагирование и восстановление» касается обеспечение защиты данных.
4. «Комплаенс» связано с выполнение требований регуляторов.

По результатам исследования был сформирован отчет, который содержит описание методологии, сценарии, оценки и ключевые выводы по каждому сценарию. Отчет также приводит сравнительный анализ уровня зрелости для небольших, средних и крупных компаний.

Основные выводы, которые сделали эксперты AKTIV.CONSULTING по итогам собранной аналитики:

• Тенденции, выявленные на всем массиве данных, актуальны и для каждой группы по отдельности.
• Наличие больших ресурсов не гарантирует высокий уровень зрелости ИБ. Распределение имеющихся ресурсов всегда обусловлено потребностями основных бизнес-процессов, в то время как вопросы ИБ относятся к обеспечивающим.
• Дельта от малого к крупному бизнесу по направлениям «Управление ИБ» и «Обеспечение ИБ» (6-9%) обусловлена тем, что обеспечить грамотное управление ИБ в небольшой компании проще и дешевле. С ростом компании растет и составляющая бюрократизации процессов.
• Направление с наивысшей оценкой для всех организаций — «Базовая ИТ и ИБ гигиена». Данное направление не требует существенных вливаний бюджета и позволяет решать задачи собственными силами специализации.
• На втором месте для небольших и средних
• компаний — «Комплаенс, который являются в некотором смысле «драйвером» для внедрения требований информационной безопасности и для обоснования выделения ресурсов и финансов на развитие функции ИБ.
• Крупные компании фокусируются «Мониторинге, реагировании и восстановлении». Основные сложности для них связаны с большим объемом данных и масштабными системами, которые трудно контролировать.
• Различия в тех направлениях, которые получают наибольшую и наименьшую оценку уровня зрелости, для малых, средних и крупных компаний — это следствие разных приоритетов бизнеса и ресурсных ограничений.

За экспертную помощь, оказанную в ходе исследования уровня зрелости ИБ российских организаций, AKTIV.CONSULTING благодарит Александра Дворянского, директора по информационной безопасности ПАО «Элемент», Леонида Плетнева, бизнес-партнера по информационной безопасности «1С-Битрикс», Алексея Петухова, лидера центра компетенций «Кибербезопасность» НТИ Энерджинет, Андрея Нуйкина, начальника управления информационной безопасности ЕВРАЗа и Александра Найко, CISO АО «БИРЖА «ЦТС»».

Экспертные мнения независимых специалистов в полном объеме приведены в отчете, обобщив их мы выявили ключевые изменения, необходимые для повышения уровня зрелости информационной безопасности в разных областях:

• Со стороны государства в лице регуляторов необходим баланс между реальными мерами и регуляторными требованиями, желательно с учетом масштаба и значимости деятельности организации.
• Со стороны рынка ИБ важно повысить доступность СКЗИ, а также идти по пути доработки отечественных решений, стремясь к международному качеству и продуктивности.
• Со стороны самих организаций требуется выстраивать диалог с Бизнесом, а также обратить особое внимание на грамотное выстраивание процессов ИБ.
• А также не забывать про рост роли AI-технологий: необходимо учиться защищать AI-инфраструктуру, а также использовать технологии для противодействия атакам.
• Со стороны комьюнити специалистов по ИБ создавать больше площадок с целью обмена информацией, и выработки совместных решений по борьбе с киберугрозами.
• Важно, чтобы представители комьюнити помогали государству в определении реалистичных и выполнимых требований, а также работали с бизнесом, чтобы доносить ценность ИБ.

Информационными партнерами исследования выступили Ассоциации АБИСС и РУССОФТ, Департамент цифровых технологий ТПП РФ.

Получить полный аналитический отчет можно по ссылке.