Девятый ежегодный мировой обзор в сфере информационной безопасности, проведенный журналом CSO и компанией PricewaterhouseCoopers, свидетельствует, что подавляющее большинство руководителей компаний и CIO слишком самоуверенны в отношении систем безопасности в их компаниях.
Прошлый год показал, что в мире постоянно происходят громкие утечки данных и взломы систем предприятий, а компьютерные вирусы способны дестабилизировать работу крупнейших компаний, государственных, в том числе и военных, организаций. В списке пострадавших от компьютерных угроз уже числятся компании, работающие в сфере безопасности - RSA Security и HBGary Federal, военные подрядчики - Lockheed Martin и Northrop Grumman, гигант в сфере развлечений Sony, крупные компаний розничной торговли, компаниий здравоохранения и исследовательские фирмы.
Несмотря на эти атаки, из почти 10 тысяч (более 9,6 тыс.) опрошенных в ходе обзора технологических боссов и руководителей бизнеса, 43% считают себя защищенными, уверены в том, что владеют надежной стратегией безопасности и эффективно ее применяют, говорится в исследовании.
Марк Лобель (Mark Lobel), руководитель отдела консультаций компании PricewaterhouseCoopers, считает довольно странным, когда так много организаций считают себя ведущими в сфере безопасности. На самом деле, «далеко не 43% [являются] лидерами».
У Пита Линдстрома (Pete Lindstrom), директора по исследованиям Spire Security, другое мнение. «Либо 43% обманывают сами себя, либо они успешно достигли высокого уровня в определении стратегии безопасности и ее применения», - считает он. CISO «Абсолют Банка» Руслан Ложкин: Зачем нам 20 SIEM или 20 NGFW? Нам не хватает экосистемности 
С целью лучшего понимания фактических возможностей респондентов, заявляющих о своем лидерстве в управлении безопасностью, PwC отсеяла результаты с учетом факторов, которые, по ее мнению, являются признаками реального лидерства. «Когда мы закончили этот анализ, количество таких лидеров снизилось с 43% до 13%», - сказал Лобель.
Аналитики задаются вопросом: откуда взялась эта необоснованная уверенность? «Возможно, с ними еще не случилось ничего плохого, или они не знают, что плохое уже случилось, - считает Лобель. – С высокой вероятностью такой подход может создать ложное чувство безопасности».
Подобное благодушие отчасти объясняет причину, почему так много организаций решили отложить финансирование систем безопасности. В этом году, по словам 51% опрошенных, они отсрочили капитальные затраты, связанные с безопасностью, в сравнении с 46% в прошлом году. Операционных расходов не избежать в любом случае, и 48% респондентов заявляют, что они отложили свои проекты. По сравнению с 43% годом ранее.
Это не говорит, что опрошенные не вкладывают средства в безопасность. Они несут расходы и делают упор на защите от атак из интернета, развертывание технологий, направленных на их предупреждение. В прошлом году инвестиции в приложения-брандмауэры выросли с 72% до 80%, а вложения в средства обнаружения вредоносного кода выросли с 72% до 83%.
По мнению Лобеля, «данные свидетельствуют, что компании не делают инвестиций в процессы, необходимые для уверенной политики безопасности, поскольку защита предприятия работает в связке с технологией», - подчеркивает аналитик.
Роберт Фекто (Robert Fecteau), сотрудник по бизнес-технологиям компании BAE Systems, называет недальновидным сокращения бюджетов на безопасность. Прорывы систем безопасности могут привести к утечке данных о продуктах, погубят репутацию и сделают компанию менее конкурентоспособной, отмечает он. «Если ваши системы подвергнутся взлому, все, что вы предполагали сохранить в процессе сокращения бюджета, будет потеряно», - подчеркнул Фекто.
