Cервисы
Managed IT
Решения
Security
Импортозамещение
Партнерам
О компании

Как бизнесу перейти от «бумажной» информационной безопасности к реальной

В сфере информационной безопасности традиционно много регламентов, положений и документов. Из-за этого некоторые компании вместо реального обеспечения ИБ фокусируются на соблюдении формальных требований регуляторов. При этом главным риском от действий киберпреступников 61% компаний считают отзыв лицензии, а 37% — отзыв сертификата PCI DSS. Такое отношение повлияло на рост количества инцидентов и размера ущерба от действий злоумышленников. Поэтому среди компаний наметилась тенденция перехода от выполнения требований регуляторов на бумаге к практическим мерам для защиты данных.

Расцвет «бумажной» безопасности

До недавнего времени российские компании недооценивали риски киберугроз. Меры по обеспечению ИБ часто сводились к стремлению избежать рисков санкций за невыполнение требований контролирующих органов. Специалисты разрабатывали политики, инструкции для сотрудников и процедуры. Кибератак было меньше, чем сейчас, и большинство из них были направлены на клиентов, а не на саму компанию.

Однако со временем количество взломов корпоративной информационной инфраструктуры росло. Компании начали массово оцифровывать бизнес, переходить в облака и использовать для работы мобильные устройства. Пандемия и переход на дистанционный или гибридный график работы привели к тому, что компании начали хранить и обрабатывать защищаемую информацию (персональные данные, данные, составляющие коммерческую тайну и др.) на абсолютно разных устройствах.

В результате в 2022 году число утечек данных в российских компаниях выросло в 1,5 раза по сравнению с прошлым годом. Объем «утекших» данных вырос в 16 раз. При этом во всем мире количество утечек данных выросло в 2 раза. Большая часть инцидентов вызвана нарушениями правил информационной безопасности. Если в компании не налажено обучение сотрудников основам ИБ, они могут переходить по ссылкам из незнакомых источников, хранить пароли в открытом виде и совершать другие ошибки. Еще одна причина утечек данных — злонамеренные действия сотрудников.

Вклад в реальную безопасность

Инциденты в сфере информационной безопасности могут привести к финансовым и репутационным потерям. Кроме того, по новым правилам компаниям грозят крупные штрафы за утечки персональных данных. Руководители понимают, что недостаточно выполнять требования регуляторов и получать лицензии и сертификаты. Гораздо важнее выстроить реальную информационную безопасность в компании. Если раньше отзыв лицензии считался главной опасностью, то сейчас для многих очевидно, что он — лишь одно из последствий несоблюдения ИБ.

Основные проблемы, с которыми сталкиваются компании:

При этом все больше организаций переходит от «бумажной» ИБ к реальной, используя проактивную тактику. На первое место выходит не устранение последствий инцидентов, а их предотвращение. В 2022 году 49% компаний планируют сохранить затраты на обеспечение информационной безопасности на прежнем уровне. При этом 39% компаний сообщили о планах увеличить бюджет на ИБ.

Как обеспечить ИБ не «на бумаге»

Информационная безопасность состоит из набора практик и методов защиты конфиденциальности и доступности данных при их передаче, хранении и обработке.

Специалисты компании ITGLOBAL.COM Security рассказали про два вида услуг, которые помогают обеспечить реальную ИБ:

Разберем каждый из этих способов подробнее.

Комплексная проверка безопасности или ИБ-аудит

Это самая масштабная проверка, позволяющая получить исчерпывающие данные о состоянии ИБ в компании. Комплексная проверка включает:

Во время аудита информационной безопасности специалисты выявляют уязвимости в ИТ-инфраструктуре и дают рекомендации по усилению ИБ. После окончания аудита руководитель получает подробный отчет о том, насколько защищены ИТ-активы компании с рекомендациями, основанными на новейшем международном опыте.

Инженеры проверяют:

Аудит помогает взглянуть со стороны на процессы информационной безопасности и своевременно принять меры для защиты конфиденциальных данных.

Тест на проникновение или пентест

При проведении этого теста специалисты по тестированию имитируют действия киберпреступников. Это позволяет выявить уязвимые места в системе безопасности сети. Способы тестирования разрабатываются и согласовываются индивидуально с каждым заказчиком.

Во время проведения пентеста проверяют:

После окончания пентеста руководитель компании получает отчет с подробным описанием методологии тестирования и найденными уязвимостями, указанием их критичности и рекомендациями по их устранению.

Комплексная проверка, аудит и тестирование на проникновение помогают уменьшить риск утечки данных, повысить защищенность инфраструктуры и контроль за ИТ-подразделениями. Это позволит компании обеспечить информационную безопасность корпоративных систем не только на бумаге, но и на практике.