В соответствии с Tenable Network Security и Center for Internet Security (CIS), 95% организаций сталкиваются с серьезными проблемами при внедрении ведущих структур в области кибербезопасности.
В ходе исследования были проанализированы ответы более 300 специалистов, ответственных за принятие решений в сфере ИТ-безопасности, работающих в американских и европейских компаниях различных размеров и являющихся представителями 15 вертикальных рынков. Это было сделано с целью лучшего понимания применения и зрелости структуры кибербезопасности и контроля безопасности, лежащего в ее основе.
По данным опроса, три из пяти главных препятствий на пути внедрения структуры кибербезопасности носят технологический характер, что предполагает потребность в программных решениях, которые могут автоматизировать и упростить внедрение структуры кибербезопасности.
Препятствия на пути реализации структуры кибербезопасности
Первая пятерка препятствий, стоящих на пути внедрения структуры кербезопасности, представлены следующим образом:
- Отсутствие квалифицированного персонала;
- Отсутствие необходимых инструментов для автоматизации управления;
- Отсутствие бюджета;
- Отсутствие соответствующих инструментов для аудита непрерывной эффективности средств контроля;
- Отсутствие интеграции среди инструментов;
«Структура кибербезопасности является хорошей возможностью для профессионалов в сфере кибербезопасности создать прочную основу для оценки эффективности системы безопасности и обеспечения соответствия нормативным требованиям, но ее внедрение может оказаться проблематичным по причине отсутствия необходимых инструментов, навыков и поддержки со стороны руководства», — сказал Крис Томас из компании Tenable Network Security. «Наличие необходимых инструментов и интуитивно понятных функций формирования отчетов не только улучшает общее состояние кибербезопасности, но также может помочь организациям решить некоторые кадровые и финансовые проблемы за счет автоматизации процесса внедрения и интеграции структур безопасности».
Несмотря на указанные препятствия, респонденты, внедрившие структуру безопасности, видят в этом очевидные преимущества, в том числе: соответствие нормативным требованиям (47%), достижение значительного повышения уровня безопасности (43%), повышение зрелости и эффективности операций по обеспечению безопасности (43%) и возможность более эффективно продемонстрировать готовность к обеспечению безопасности руководству компании (41%).
Временные рамки
В то время, как полное внедрение структуры безопасности может занять достаточно много времени, заметный прогресс виден в рамках конкретного временного периода. На самом деле, данные исследования показывают, что среди компаний, которые начали внедрение структуры безопасности более года назад, 35% автоматизировали 11 и более 15 основополагающих элементов управления (из 15-ти возможных). Даже среди тех, кто начал внедрение структуры безопасности меньше, чем год назад, 25% организаций автоматизировали шесть или более элементов.
«Жизнеспособная программа кибербезопасности начинается с базовых действий, осуществляемых в каждой структуре кибербезопасности, как то: контроль аппаратных и программных средств, непрерывная оценка уязвимости, а также, контроль за использованием административных привилегий», — говорит Тони Сагер, старший вице-президент CIS. «Благодаря проведенному опросу мы узнали, что профессионалы в сфере безопасности прилагают все усилия для применения этих элементов управления, но они все еще сталкиваются с препятствиями на пути привлечения ресурсов и получения поддержки со стороны руководителей. Мы должны ускорить автоматизацию этих элементов управления, поскольку организации продолжают внедрять отраслевые структуры. Кроме того, многие организации успешно используют элементы CIS в качестве инструмента управления на пути внедрения структуры кибербезопасности».