Кража информации обходится дороже, чем ее случайная утеря
Компания RSA, занимающаяся разработкой систем безопасности в составе корпорации EMC, и корпорация Microsoft объявили результаты глобального исследования "Ценность корпоративных секретов: как соответствие правовым требованиям и совместная работа персонала влияют на уязвимость компаний".
В рамках этого исследования выяснилось, что организации тратят большие средства на обеспечение соответствия правовым требованиям и защиту от случайных утечек конфиденциальной информации (например, информация о клиентах), но в то же время недостаточно защищают от утечки гораздо более ценные секретные корпоративные данные. Исследование показало, что в то время как организации уделяют основное внимание защите от случайной утери информации, кража данных сотрудниками или доверенными внешними лицами обходится им гораздо дороже.
Около 90% компаний, принявших участие в исследовании, согласились, что главная цель их программ по безопасности - обеспечить соответствие требованиям PCI-DSS, законам о конфиденциальности информации и ее неправомерном раскрытии, а также политике обеспечения безопасности данных. Значительная доля бюджета компаний (39%) идет на поддержку программ по обеспечению безопасности данных в соответствии с правовыми требованиями. Но секретные данные составляют 62% от всего объема информации, тогда как конфиденциальные данные, хранение которых должно соответствовать правовым требованиям, - гораздо меньше, всего 38%. Это свидетельствует о том, что инвестиции во вторую категорию данных слишком завышены, - сообщается в исследовании Forrester Consulting.
Большинство компаний на самом деле не знают, насколько эффективны их программы по безопасности, определяя степень их действенности только по примерному подсчету количества инцидентов. Из-за необходимости выполнять правовые требования директоры по безопасности стараются приобрести больше защитных средств. Но это меняет традиционную цель обеспечения информационной безопасности, которая заключается в защите конфиденциальных данных компании, добавляют аналитики.
Кроме того, Microsoft и RSA предложили ряд рекомендаций, которые помогут организациям сбалансировать программы по обеспечению безопасности. Во-первых, нужно определить самые ценные информационные активы организации, во-вторых - создать список рисков, где будут описаны возможные сценарии угроз, в-третьих - оценить степень прилагаемых усилий по обеспечению соответствия правовым требованиям и по защите корпоративной конфиденциальной информации и постараться установить между ними баланс. Затем компании предлагают стать более бдительными в отношениях с другими компаниями и измерить эффективность программы по защите данных.
© @Astera