AKTIV.CONSULTING оценил уровень зрелости информационной безопасности российских компаний

Эксперты бизнес-направления AKTIV.CONSULTING Компании «Актив» представили первый аналитический отчет «Оценка уровня зрелости информационной безопасности». Документ отражает актуальную ситуацию в части обеспечения ИБ, состояние ключевых процессов, а также содержит рекомендации по повышению уровня зрелости функции ИБ в российских компаниях.

AKTIV.CONSULTING оценил уровень зрелости информационной безопасности российских компаний

Далеко не все российские компании имеют возможность регулярно оценивать уровень зрелости информационной безопасности (далее — ИБ) в силу отсутствия ресурсов и фреймворков. В то же время такая оценка могла бы послужить основой для выявления “уязвимых” мест, обоснования выделения средств для обновления технического парка, найма и мотивации персонала и развития функции ИБ в компании в целом. Именно поэтому эксперты AKTIV.CONSULTING приняли решение провести исследование и отразить актуальную ситуацию в части обеспечения ИБ в отечественных компаниях с целью гармоничного развития это бизнес-функции.

Объектом исследования специалистов AKTIV.CONSULTING стали 52 российских компании с выделенной функцией информационной безопасности, представляющие промышленность, финансовую, ИТ и ИБ отрасли, здравоохранение, строительную индустрию и другие направления.

В основу методологии исследования лег опросник для самооценки, разработанный экспертами AKTIV.CONSULTING, содержащий сто сценариев по пяти направлениям:

  • «Управление ИБ», характеризует управление процессами обеспечения информационной безопасностью.
  • «Базовая ИТ- и ИБ-гигиена», касается базовых мер обеспечения ИБ
  • «Обеспечение ИБ», связано с техническим оснащением службы ИБ.
  • «Мониторинг, реагирование и восстановление» описывает уровень обеспечения защиты данных.
  • «Комплаенс» связан с выполнением требований регуляторов.

По результатам исследования был сформирован отчет, который содержит описание методологии, сценарии, оценки и ключевые выводы по каждому сценарию. Отчет также приводит сравнительный анализ уровня зрелости для небольших, средних и крупных компаний.

Основные выводы, которые сделали эксперты AKTIV.CONSULTING по итогам собранной аналитики:

  • Тенденции, выявленные на всем массиве данных, актуальны и для каждой группы по отдельности.
  • Наличие больших ресурсов не гарантирует высокий уровень зрелости ИБ. Распределение имеющихся ресурсов всегда обусловлено потребностями основных бизнес-процессов, в то время как вопросы ИБ относятся к обеспечивающим.
  • Дельта от малого к крупному бизнесу по направлениям «Управление ИБ» и «Обеспечение ИБ» (6-9%) обусловлена тем, что обеспечить грамотное управление ИБ в небольшой компании проще и дешевле. С ростом компании растет и составляющая бюрократизации процессов.
  • Направление с наивысшей оценкой для всех организаций — «Базовая ИТ и ИБ гигиена». Данное направление не требует существенных вливаний бюджета и позволяет решать задачи собственными силами специализации.
  • На втором месте для небольших и средних компаний — «Комплаенс», который является в некотором смысле «драйвером» для внедрения требований информационной безопасности и для обоснования выделения ресурсов и финансов на развитие функции ИБ.
  • Крупные компании фокусируются на «Мониторинге, реагировании и восстановлении». Основные сложности для них связаны с большим объемом данных и масштабными системами, которые трудно контролировать.
  • Различия в тех направлениях, которые получают наибольшую и наименьшую оценку уровня зрелости, для малых, средних и крупных компаний — это следствие разных приоритетов бизнеса и ресурсных ограничений. 

За экспертную помощь, оказанную в ходе исследования уровня зрелости ИБ российских организаций, AKTIV.CONSULTING благодарит Александра Дворянского, директора по информационной безопасности ПАО «Элемент», Леонида Плетнева, бизнес-партнера по информационной безопасности «1С-Битрикс», Алексея Петухова, лидера центра компетенций «Кибербезопасность» НТИ Энерджинет, Андрея Нуйкина, начальника управления информационной безопасности ЕВРАЗа и Александра Найко, CISO АО «БИРЖА «ЦТС»».

Экспертные мнения независимых специалистов в полном объеме приведены в отчете, обобщив их мы выявили ключевые изменения, необходимые для повышения уровня зрелости информационной безопасности в разных областях:

  • Со стороны государства в лице регуляторов необходим баланс между реальными мерами и регуляторными требованиями, желательно с учетом масштаба и значимости деятельности организации.
  • Со стороны рынка ИБ важно повысить доступность СКЗИ, а также идти по пути доработки отечественных решений, стремясь к международному качеству и продуктивности.
  • Со стороны самих организаций требуется выстраивать диалог с бизнесом, а также обратить особое внимание на грамотное выстраивание процессов ИБ.
  • Также не стоит забывать про рост роли AI-технологий: необходимо учиться защищать AI-инфраструктуру, а также использовать технологии для противодействия атакам.
  • Со стороны комьюнити специалистов по ИБ необходимо создавать больше площадок с целью обмена информацией и выработки совместных решений по борьбе с киберугрозами.
  • Важно, чтобы представители комьюнити помогали государству в определении реалистичных и выполнимых требований, а также работали с бизнесом, чтобы доносить ценность ИБ.

Информационными партнерами исследования выступили Ассоциации АБИСС и РУССОФТ, Департамент цифровых технологий ТПП РФ.

Бесплатный инструмент для самостоятельной оценки компаниями уровня зрелости информационной безопасности, разработанный экспертами в ходе исследования, останется доступным по ссылке на сайте AKTIV.CONSULTING. С его помощью специалисты по информационной безопасности и руководители организаций смогу получить представление о текущем уровне зрелости ИБ и рекомендации по дальнейшему развитию функции ИБ.

Получить полный аналитический отчет можно по ссылке

Для повышения удобства работы и хранения данных веб-сайт aktiv-company.ru использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.