AKTIV.CONSULTING оценил уровень зрелости информационной безопасности российских компаний

Далеко не все российские компании имеют возможность регулярно оценивать уровень зрелости информационной безопасности (далее - ИБ) в силу отсутствия ресурсов и фреймворков. В то же время такая оценка могла бы послужить основой для выявления “уязвимых” мест, обоснования выделения средств для обновления технического парка, найма и мотивации персонала и развития функции ИБ в компании в целом. Именно поэтому эксперты AKTIV.CONSULTING приняли решение провести исследование и отразить актуальную ситуацию в части обеспечения ИБ в отечественных компаниях с целью гармоничного развития это бизнес-функции. 

Объектом исследования специалистов AKTIV.CONSULTING стали 52 российских компании с выделенной функцией информационной безопасности, представляющие промышленность, финансовую, ИТ и ИБ отрасли, здравоохранение, строительную индустрию и другие направления.

В основу методологии исследования лег опросник для самооценки, разработанный экспертами AKTIV.CONSULTING, содержащий сто сценариев по пяти направлениям:

1. «Управление ИБ», характеризует управление процессами обеспечения информационной безопасностью.
2. «Базовая ИТ- и ИБ-гигиена», касается базовых мер обеспечения ИБ
3. «Обеспечение ИБ», связано с техническим оснащением службы ИБ.
4. «Мониторинг, реагирование и восстановление» описывает уровень обеспечения защиты данных.
5. «Комплаенс» связан с выполнением требований регуляторов. 

По результатам исследования был сформирован отчет, который содержит описание методологии, сценарии, оценки и ключевые выводы по каждому сценарию. Отчет также приводит сравнительный анализ уровня зрелости для небольших, средних и крупных компаний. 

Основные выводы, которые сделали эксперты AKTIV.CONSULTING по итогам собранной аналитики: 

• Тенденции, выявленные на всем массиве данных, актуальны и для каждой группы по отдельности.
• Наличие больших ресурсов не гарантирует высокий уровень зрелости ИБ. Распределение имеющихся ресурсов всегда обусловлено потребностями основных бизнес-процессов, в то время как вопросы ИБ относятся к обеспечивающим.
• Дельта от малого к крупному бизнесу по направлениям «Управление ИБ» и «Обеспечение ИБ» (6-9%) обусловлена тем, что обеспечить грамотное управление ИБ в небольшой компании проще и дешевле. С ростом компании растет и составляющая бюрократизации процессов.
• Направление с наивысшей оценкой для всех организаций — «Базовая ИТ и ИБ гигиена». Данное направление не требует существенных вливаний бюджета и позволяет решать задачи собственными силами специализации.
• На втором месте для небольших и средних компаний — «Комплаенс», который является в некотором смысле «драйвером» для внедрения требований информационной безопасности и для обоснования выделения ресурсов и финансов на развитие функции ИБ.
• Крупные компании фокусируются на «Мониторинге, реагировании и восстановлении». Основные сложности для них связаны с большим объемом данных и масштабными системами, которые трудно контролировать.
• Различия в тех направлениях, которые получают наибольшую и наименьшую оценку уровня зрелости, для малых, средних и крупных компаний — это следствие разных приоритетов бизнеса и ресурсных ограничений. 

За экспертную помощь, оказанную в ходе исследования уровня зрелости ИБ российских организаций, AKTIV.CONSULTING  благодарит Александра Дворянского, директора по информационной безопасности ПАО «Элемент», Леонида Плетнева, бизнес-партнера по информационной безопасности «1С-Битрикс», Алексея Петухова, лидера центра компетенций «Кибербезопасность» НТИ Энерджинет, Андрея Нуйкина, начальника управления информационной безопасности ЕВРАЗа и Александра Найко, CISO АО «БИРЖА "ЦТС"». 

Экспертные мнения независимых специалистов в полном объеме приведены в отчете, обобщив их мы выявили ключевые изменения, необходимые для повышения уровня зрелости информационной безопасности в разных областях:

1. Со стороны государства в лице регуляторов необходим баланс между реальными мерами и регуляторными требованиями, желательно с учетом масштаба и значимости деятельности организации.
2. Со стороны рынка ИБ важно повысить доступность СКЗИ, а также идти по пути доработки отечественных решений, стремясь к международному качеству и продуктивности.
3. Со стороны самих организаций требуется выстраивать диалог с бизнесом, а также обратить особое внимание на грамотное выстраивание процессов ИБ.
4. Также не стоит забывать про рост роли AI-технологий: необходимо учиться защищать AI-инфраструктуру, а также использовать технологии для противодействия атакам.
5. Со стороны комьюнити специалистов по ИБ необходимо создавать больше площадок с целью обмена информацией и выработки совместных решений по борьбе с киберугрозами.
6. Важно, чтобы представители комьюнити помогали государству в определении реалистичных и выполнимых требований, а также работали с бизнесом, чтобы доносить ценность ИБ.

Информационными партнерами исследования выступили Ассоциации АБИСС и РУССОФТ, Департамент цифровых технологий ТПП РФ.